Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.10.2010, 12:49   #1
didi stulle
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Icon32

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Hallo Trojaner Board,

dieses augenscheinliche "Problemchen" scheint bei genauerem Betrachten zu einem intensiven Systemcheck zu führen. Bei den Postings zu diesem Thema hier, sieht es nach einer Spezialbehandlung zu ganz anderen "Problemchen" aus. Da ich mir nicht mehr zu helfen weiß, wende ich mich an dieses außerordentliche Forum, in der Hoffnung auf Unterstützung.

Eine vollständige Systemüberprüfung mit AntiVir ergab folgenden Bericht:

Code:
ATTFilter
Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\4n0ecytw.default\Cache\8EB76000d01'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.bcbo' [trojan].

Die Datei 'C:\System Volume Information\_restore{6FD669A7-1FA6-471C-895E-33B67CAEB89F}\RP419\A0025513.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.avd' [trojan].

In der Datei 'G:\System Volume Information\_restore{6FD669A7-1FA6-471C-895E-33B67CAEB89F}\RP444\A0030786.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Click.Yabector.934017' [trojan] gefunden.
         

Malwarebytes ließ sich erst nach umbenennen starten und meldete nach einem QuickScan (noch ohne Datenbankaktualisierung) folgendes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

19.10.2010 16:04:36
mbam-log-2010-10-19 (16-04-36).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120886
Laufzeit: 3 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.181,93.188.166.181 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1b7b951d-f6b8-4b97-add3-3955a329d9ae}\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.181,93.188.166.181 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Anschliessend konnte der Browser keine Verbindung zum Internet mehr herstellen. Ein Blick in die Eigenschaften von TCP/IP: DNS-Serveradresse war leer (seltsam?!). Nach Eintrag der richtigen Adresse konnte ich auch Malwarebytes aktualisieren und der vollständige Suchlauf sah so aus:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4885

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

20.10.2010 19:09:43
mbam-log-2010-10-20 (19-09-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 474396
Laufzeit: 47 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Rootkit Unhooker und GMER zeigten eine Reihe von Einträgen, die ich erschrecken fand, allerdings nicht mehr einschätzen kann. Ich hab die Log-Files erst mal nicht gepostet, der Übersichtlichkeit wegen.

Der Vollständigkeit halber hier noch die Ergebnisse von OTL:
Code:
ATTFilter
OTL logfile created on: 21.10.2010 13:18:16 - Run 2
OTL by OldTimer - Version 3.2.16.0     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 83,00% Memory free
6,00 Gb Paging File | 6,00 Gb Available in Paging File | 93,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 69,72 Gb Free Space | 71,40% Space Free | Partition Type: NTFS
Drive D: | 53,94 Gb Total Space | 33,27 Gb Free Space | 61,68% Space Free | Partition Type: NTFS
Drive E: | 146,48 Gb Total Space | 19,90 Gb Free Space | 13,58% Space Free | Partition Type: NTFS
Drive G: | 465,75 Gb Total Space | 278,51 Gb Free Space | 59,80% Space Free | Partition Type: NTFS
Drive M: | 7,84 Gb Total Space | 2,99 Gb Free Space | 38,13% Space Free | Partition Type: FAT32
 
Computer Name: BLACKSUN | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\Samsung\EmoDio\SMSTray.exe (SAMSUNG ELECTRONICS)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\system32\drivers\CDAC11BA.EXE (Macrovision)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\emaudsv.exe (E-MU Systems)
PRC - C:\Programme\Creative Professional\E-MU USB Audio\E-MU USB Audio\EmuUsbAudioCP.exe (E-MU Systems)
PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Defender\MsMpEng.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
PRC - C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe (Elaborate Bytes AG)
PRC - C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
PRC - C:\Programme\SEC\MT2.5_RAFF\GammaTray.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (FileZilla Server) -- C:\xampp\FileZillaFTP\FileZillaServer.exe (FileZilla Project)
SRV - (C-DillaCdaC11BA) -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE (Macrovision)
SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe ()
SRV - (emaudsv) -- C:\WINDOWS\system32\emaudsv.exe (E-MU Systems)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MsMpEng.exe (Microsoft Corporation)
SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
SRV - (Asiosvc) -- C:\WINDOWS\system32\drivers\cledx.sys (Team H2O)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (rkhdrv40) --  File not found
DRV - (FXDrv32) -- F:\FXDrv32.sys File not found
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (CdaC15BA) -- C:\WINDOWS\system32\drivers\CdaC15BA.SYS (Macrovision Europe Ltd)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (VClone) -- C:\WINDOWS\system32\drivers\VClone.sys (Elaborate Bytes AG)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (ElbyDelay) -- C:\WINDOWS\system32\drivers\ElbyDelay.sys (Elaborate Bytes AG)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (JRAID) -- C:\WINDOWS\system32\DRIVERS\jraid.sys (JMicron Technology Corp.)
DRV - (emusba10) -- C:\WINDOWS\system32\drivers\emusba10.sys (E-MU Systems)
DRV - (JGOGO) -- C:\WINDOWS\system32\DRIVERS\JGOGO.sys (JMicron )
DRV - (MagicTune) -- C:\WINDOWS\system32\drivers\MTictwl.sys ()
DRV - (CLEDX) -- C:\WINDOWS\system32\drivers\cledx.sys (Team H2O)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (Asapi) -- C:\WINDOWS\System32\drivers\asapi.sys (VOB Computersysteme GmbH)
DRV - (sfman) Creative-SoundFont-Verwaltungstreiber (WDM) -- C:\WINDOWS\system32\drivers\sfmanm.sys (Creative Technology Ltd.)
DRV - (emu10k1) Creative-Schnittstellen-Verwaltungstreiber (WDM) -- C:\WINDOWS\system32\drivers\ctlfacem.sys (Creative Technology Ltd.)
DRV - (emu10k) Creative SB Live! (WDM) -- C:\WINDOWS\system32\drivers\emu10k1m.sys (Creative Technology Ltd.)
DRV - (ctljystk) -- C:\WINDOWS\system32\drivers\ctljystk.sys (Creative Technology Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1004336348-651377827-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-1004336348-651377827-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)"
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}:0.16
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.5.4
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.10.02 20:38:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.10.02 20:38:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.12\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.09.21 19:18:59 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.12\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2008.03.14 22:07:05 | 000,000,000 | ---D | M]
 
[2010.10.02 20:01:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.10.02 20:39:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4n0ecytw.default\extensions
[2010.10.02 20:02:57 | 000,000,000 | ---D | M] (Live HTTP Headers) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4n0ecytw.default\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}
[2010.10.02 20:39:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4n0ecytw.default\extensions\firebug@software.joehewitt.com
[2010.10.02 20:39:24 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2007.08.29 23:47:44 | 000,054,600 | ---- | M] (BitTorrent, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll
[2010.09.14 23:32:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.14 23:32:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.14 23:32:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.14 23:32:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.14 23:32:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll ()
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Corel Reminder]  File not found
O4 - HKLM..\Run: [H2O] C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SMSTray] C:\Programme\Samsung\EmoDio\SMSTray.exe (SAMSUNG ELECTRONICS)
O4 - HKLM..\Run: [UpdReg] C:\WINDOWS\Updreg.EXE (Creative Technology Ltd.)
O4 - HKLM..\Run: [VirtualCloneDrive] C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe (Elaborate Bytes AG)
O4 - HKLM..\Run: [Windows Defender] C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\Run: [DWQueuedReporting] C:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE (Microsoft Corporation)
O4 - HKU\S-1-5-18..\Run: [DWQueuedReporting] C:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE (Microsoft Corporation)
O4 - HKU\S-1-5-21-1004336348-651377827-839522115-1004..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe File not found
O4 - HKU\S-1-5-21-1004336348-651377827-839522115-1004..\Run: [E-MU USB Audio Control Panel] C:\Programme\Creative Professional\E-MU USB Audio\E-MU USB Audio\EmuUsbAudioCP.exe (E-MU Systems)
O4 - HKU\S-1-5-21-1004336348-651377827-839522115-1004..\Run: [NBJ] C:\Programme\Ahead\Nero BackItUp\NBJ.exe (Ahead Software AG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Color Calibration.lnk = C:\Programme\SEC\MT2.5_RAFF\GammaTray.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Jonas\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\Jonas\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1004336348-651377827-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Alles mit FDM herunterladen - C:\Programme\Free Download Manager\dlall.htm ()
O8 - Extra context menu item: Auswahl mit FDM herunterladen - C:\Programme\Free Download Manager\dlselected.htm ()
O8 - Extra context menu item: Datei mit FDM herunterladen - C:\Programme\Free Download Manager\dllink.htm ()
O8 - Extra context menu item: Videos mit FDM herunterladen - C:\Programme\Free Download Manager\dlfvideo.htm ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - C:\Programme\Windows Defender\MpShHook.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.11.16 15:52:02 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\Shell\AutoRun\command - "" = F:\Setup.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.10.21 13:17:52 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.10.20 15:10:29 | 000,000,000 | ---D | C] -- C:\RkUnhooker
[2010.10.20 14:52:18 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.10.19 12:59:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.10.18 19:37:23 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.18 19:37:21 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.18 19:37:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.18 16:57:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.16 20:55:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\.netbeans-derby
[2010.10.16 20:06:00 | 000,000,000 | ---D | C] -- d:\***\NetBeansProjects
[2010.10.16 19:59:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\.netbeans
[2010.10.16 19:59:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\.netbeans-registration
[2010.10.16 19:56:19 | 000,000,000 | ---D | C] -- C:\Programme\NetBeans 6.9.1
[2010.10.16 19:55:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\.nbi
[2010.10.16 14:23:28 | 000,000,000 | ---D | C] -- C:\Programme\Regex Power!
[2010.10.16 14:17:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WpsRegEx
[2010.10.16 14:17:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Deployment
[2010.10.06 20:55:50 | 000,000,000 | ---D | C] -- C:\Programme\advanced_renamer_portable
[2010.10.06 19:40:00 | 000,000,000 | ---D | C] -- C:\Programme\Tools&More
[2010.10.04 17:48:31 | 000,000,000 | ---D | C] -- C:\Programme\WinHTTrack
[2010.10.04 17:46:23 | 000,000,000 | ---D | C] -- d:\***\Downloads
[2010.09.23 20:50:57 | 000,000,000 | ---D | C] -- d:\***\Stronghold
[2007.11.24 12:28:20 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\pcouffin.sys
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.10.21 11:36:24 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.10.21 10:51:10 | 000,000,322 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2010.10.21 10:48:29 | 000,198,944 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.10.21 10:48:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.21 10:48:04 | 3488,927,744 | -HS- | M] () -- C:\hiberfil.sys
[2010.10.13 23:29:16 | 000,000,119 | ---- | M] () -- C:\WINDOWS\FolderSort.ini
[2010.10.13 17:24:28 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.08 22:38:50 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2010.10.07 20:29:38 | 000,001,409 | ---- | M] () -- C:\WINDOWS\QTFont.for
[2010.10.06 23:01:11 | 000,036,864 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.01 06:18:39 | 000,000,055 | ---- | M] () -- C:\WINDOWS\KMSTMVM.ini
[2010.09.26 00:33:17 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.10.07 20:29:38 | 000,054,156 | -H-- | C] () -- C:\WINDOWS\QTFont.qfn
[2010.10.07 20:29:38 | 000,001,409 | ---- | C] () -- C:\WINDOWS\QTFont.for
[2010.05.26 09:36:57 | 000,000,119 | ---- | C] () -- C:\WINDOWS\FolderSort.ini
[2010.05.25 22:25:06 | 000,000,065 | ---- | C] () -- C:\WINDOWS\FISHUI.INI
[2010.05.21 13:25:01 | 000,000,551 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AutoGK.ini
[2009.08.09 07:15:18 | 000,036,864 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.04.16 13:24:14 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll
[2009.04.16 13:24:14 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2009.04.16 13:24:14 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2009.04.16 13:24:14 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\Ogg.dll
[2009.01.25 23:10:48 | 000,179,200 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.01.09 01:01:22 | 000,629,760 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008.12.22 23:54:26 | 000,000,055 | ---- | C] () -- C:\WINDOWS\KMSTMVM.ini
[2008.08.02 06:20:00 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008.08.02 06:20:00 | 001,499,136 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008.08.02 06:20:00 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008.08.02 06:20:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008.08.02 06:20:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.06.11 10:02:32 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.06.11 10:02:32 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.06.11 10:02:32 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008.06.05 09:58:26 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008.05.11 22:50:45 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\ArtFfct.dll
[2008.05.09 23:11:49 | 000,000,129 | ---- | C] () -- C:\WINDOWS\BeatBurner VSTi.INI
[2008.04.15 11:48:14 | 000,003,325 | ---- | C] () -- C:\WINDOWS\tm.ini
[2008.04.05 14:18:28 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.01.19 23:31:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2007.12.30 00:29:29 | 000,685,816 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2007.12.19 22:40:22 | 000,013,396 | ---- | C] () -- C:\WINDOWS\System32\drivers\MTictwl.sys
[2007.12.17 22:22:11 | 000,002,319 | ---- | C] () -- C:\WINDOWS\System32\emaud.ini
[2007.12.17 22:22:11 | 000,000,035 | ---- | C] () -- C:\WINDOWS\System32\ctzapxx.ini
[2007.12.03 22:45:37 | 000,001,381 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2007.12.03 00:24:01 | 000,000,297 | ---- | C] () -- C:\WINDOWS\IfoEdit.INI
[2007.12.02 02:43:56 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2007.11.24 12:28:24 | 000,000,034 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\pcouffin.log
[2007.11.24 12:28:20 | 000,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\inst.exe
[2007.11.24 12:28:20 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\pcouffin.cat
[2007.11.24 12:28:20 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\pcouffin.inf
[2007.11.20 19:20:40 | 000,000,011 | ---- | C] () -- C:\WINDOWS\SBWIN.INI
[2007.11.17 01:19:43 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.11.16 17:43:40 | 000,064,624 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2007.11.16 16:33:16 | 000,000,254 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2007.11.16 16:28:53 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.11.16 16:24:21 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2007.11.16 15:29:41 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2007.10.20 02:56:16 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2007.10.18 11:02:34 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006.11.20 11:29:30 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\emcoinst.dll
[2003.08.07 15:01:50 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2002.10.16 00:54:04 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2000.10.17 06:19:10 | 000,225,280 | ---- | C] () -- C:\WINDOWS\System32\Scint100.dll
[2000.10.17 06:19:08 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\sccres100.dll
 
========== LOP Check ==========
 
[2008.06.04 19:39:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2008.03.15 13:33:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
[2008.05.10 23:47:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Propellerhead Software
[2010.09.08 23:23:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2008.05.12 00:23:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temporary
[2010.10.16 14:17:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WpsRegEx
[2009.12.22 19:32:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\BitTorrent
[2009.12.22 19:33:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\Mp3tag
[2010.09.22 19:26:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\OpenOffice.org
[2010.09.21 19:18:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\Thunderbird
[2008.07.01 22:39:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\.purple
[2007.12.03 21:04:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\aicon
[2008.03.29 22:52:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Antares
[2010.10.04 07:14:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\BitTorrent
[2009.06.04 18:27:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
[2010.05.25 22:16:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DataCast
[2010.07.23 13:54:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla
[2009.03.15 23:37:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Free Download Manager
[2007.11.30 22:34:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\GetRightToGo
[2008.02.22 19:25:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2008.01.11 18:16:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\JAM Software
[2009.08.02 11:10:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Korg
[2009.10.03 17:22:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mp3tag
[2010.07.29 21:02:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MySQL
[2010.02.09 15:12:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org
[2010.09.06 17:16:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Opera
[2008.05.10 23:51:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Propellerhead Software
[2007.12.18 14:01:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Proteus VX
[2007.12.18 13:00:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Steinberg
[2007.11.18 18:38:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird
[2008.04.05 14:21:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Turbine
[2010.07.27 14:32:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vso
[2010.10.21 10:51:10 | 000,000,322 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A5B56640

< End of report >
         

Und Extras:

Code:
ATTFilter
OTL Extras logfile created on: 21.10.2010 13:18:16 - Run 2
OTL by OldTimer - Version 3.2.16.0     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 83,00% Memory free
6,00 Gb Paging File | 6,00 Gb Available in Paging File | 93,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 69,72 Gb Free Space | 71,40% Space Free | Partition Type: NTFS
Drive D: | 53,94 Gb Total Space | 33,27 Gb Free Space | 61,68% Space Free | Partition Type: NTFS
Drive E: | 146,48 Gb Total Space | 19,90 Gb Free Space | 13,58% Space Free | Partition Type: NTFS
Drive G: | 465,75 Gb Total Space | 278,51 Gb Free Space | 59,80% Space Free | Partition Type: NTFS
Drive M: | 7,84 Gb Total Space | 2,99 Gb Free Space | 38,13% Space Free | Partition Type: FAT32
 
Computer Name: BLACKSUN | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\xampp\mysql\bin\mysqld.exe" = C:\xampp\mysql\bin\mysqld.exe:*:Enabled:mysqld -- ()
"C:\mysql-5.0.15-win32\bin\mysqld.exe" = C:\mysql-5.0.15-win32\bin\mysqld.exe:*:Enabled:mysqld -- ()

"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.)
"C:\Programme\BitTorrent\bittorrent.exe" = C:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent -- ()
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\LeechFTP\Leechftp.exe" = C:\Programme\LeechFTP\Leechftp.exe:*:Enabled:LeechFTP -- (jan debis)
"E:\Der Herr der Ringe Online\lotroclient.exe" = E:\Der Herr der Ringe Online\lotroclient.exe:*:Enabled:lotroclient -- ()
"C:\xampp\MercuryMail\mercury.exe" = C:\xampp\MercuryMail\mercury.exe:LocalSubNet:Enabled:Mercury/32 Core Processing Module v4.52 -- (David Harris)
"C:\xampp\apache\bin\Apache.exe" = C:\xampp\apache\bin\Apache.exe:LocalSubNet:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\TYPO3Winstaller\Apache\bin\Apache.exe" = C:\TYPO3Winstaller\Apache\bin\Apache.exe:LocalSubNet:Enabled:Apache HTTP Server -- File not found
"C:\Programme\Free Download Manager\fdm.exe" = C:\Programme\Free Download Manager\fdm.exe:*:Enabled:Free Download Manager -- (FreeDownloadManager.ORG)
"C:\Programme\eclipse_pdt\eclipse.exe" = C:\Programme\eclipse_pdt\eclipse.exe:*:Enabled:eclipse -- ()
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\xampp\apache\bin\httpd.exe" = C:\xampp\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\Programme\eclipse_php_galileo\eclipse.exe" = C:\Programme\eclipse_php_galileo\eclipse.exe:*:Enabled:eclipse -- ()
"E:\DIE SIEDLER - Das Erbe der Könige\Bin\settlershok.exe" = E:\DIE SIEDLER - Das Erbe der Könige\Bin\settlershok.exe:*:Enabled:THE SETTLERS - Heritage of Kings -- (Blue Byte Software)
"C:\WINDOWS\system32\muzapp.exe" = C:\WINDOWS\system32\muzapp.exe:*:Enabled:MUZ AOD APP player -- (Musiccity Co.Ltd.)
"E:\Stronghold Crusader\Stronghold_Crusader_Extreme.exe" = E:\Stronghold Crusader\Stronghold_Crusader_Extreme.exe:*:Enabled:Stronghold Crusader Extreme -- ( )
"E:\Stronghold Crusader\Stronghold Crusader.exe" = E:\Stronghold Crusader\Stronghold Crusader.exe:*:Enabled:Stronghold Crusader -- ( )
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"E:\Stronghold\Stronghold.exe" = E:\Stronghold\Stronghold.exe:*:Enabled:Stronghold -- ()
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0ECB59D5-A3FC-4D61-AD3B-6CE679B3F852}" = Java DB 10.2.2.0
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ2411" = CanoScan LiDE 70
"{15095BF3-A3D7-4DDF-B193-3A496881E003}" = Microsoft .NET Framework 3.0
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1C27C64B-D5CF-4881-A310-0BD2A0D21927}" = ElsterFormular 2005/2006
"{1C99893D-BC98-4456-AA3E-B67AB42301A6}" = E-MU USB Audio
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 11
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{32A3A4F4-B792-11D6-A78A-00B0D0160030}" = Java(TM) SE Development Kit 6 Update 3
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}" = Joe
"{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}" = Google Earth
"{43B6667D-7520-4186-B05B-F5C0494C495D}" = UltraEdit-32
"{491DD792-AD81-429C-9EB4-86DD3D22E333}" = Windows Communication Foundation
"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU
"{578FA426-47C0-4A3F-98A4-01ACD26B7556}" = LEGO Star Wars II
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{699BAC7F-DC10-4709-97D8-45379301BBE7}" = NVIDIA PhysX v8.08.01
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6D482078-8D15-4FD3-B838-C7B49174650F}" = Opera 10.61
"{7029C67C-7B87-4194-9B49-09890067D869}" = Melodyne plugin
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}" = Windows Workflow Foundation
"{7FC7AD70-1DF3-4B84-9AA2-4FB680F45572}_is1" = Hex-Editor MX
"{84D04D4F-2201-4AED-BE9A-FFA62069CA19}_is1" = reFX Nexus 1.0.0
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8C3727F2-8E37-49E4-820C-03B1677F53B6}" = Stronghold Crusader Extreme
"{8C49987B-689E-469D-86AE-8E325A038701}" = Melodyne plugin
"{8FDC1610-3FB5-4EF2-A0D0-CEDC3A525A25}" = DIE SIEDLER - Das Erbe der Könige
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{97C82B44-D408-4F14-9252-47FC1636D23E}_is1" = IZArc 3.8
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9E50DEC9-081B-441F-B647-98DBEA8B01DD}" = CorelDRAW 10
"{A06275F4-324B-4E85-95E6-87B2CD729401}" = Windows Defender
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{AAE4B36C-7A25-4513-975B-ACE7437572A0}" = Korg Kontrol Editor
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}" = Apple Software Update
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C19BE821-89B1-4A96-AC7C-873810C0CB5F}" = ContentSAFER for Wizmax
"{C20CE592-B0F8-4D20-BF31-0151CA6331A6}" = EmoDio
"{C917BA70-28A3-4C74-B163-41FD8C8E1A5A}" = Stronghold
"{C962EF10-7539-477A-A0AD-F8CBD0E9F7E5}" = KORG USB-MIDI Driver Tools for Windows
"{C99D13A4-0769-465A-B117-F8D63F0B43E2}" = A-Prompt
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}" = ElsterFormular 2006/2007
"{CF8AD3FF-A52D-4B44-8C87-EA35F0687E00}" = MySQL Workbench 5.0 OSS
"{D52ECEBC-9B20-41A5-81C4-A62DE2367419}" = Adobe Creative Suite
"{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1
"{E03D0061-1060-4BF7-87E4-CEB791A51A14}" = MySQL Tools for 5.0
"{E0D51394-1D45-460A-B62D-383BC4F8B335}" = QuickTime
"{E1180142-3B31-4DCC-9D27-7AC2D37662BF}" = LightScribe  1.4.124.1
"{EEB41F26-E9FC-4430-843F-AAD8553EAF72}" = MT2.5_RAFF
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{FB557C20-AF8C-471E-AB56-0EBE5ECD007C}" = MySQL Workbench 5.1 OSS
"1st JavaScript Editor 3" = 1st JavaScript Editor 3.8
"4f6dcc3b-179d-4b1b-80f0-b6083a0b3ce6_is1" = DER HERR DER RINGE ONLINE: Die Minen Von Moria v02.01.03.4020
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Antares Autotune VST RTAS TDM_is1" = Antares Autotune VST RTAS TDM v5.08
"Antares AVOX Vocal Kit Bundle VST v1.02" = Antares AVOX Vocal Kit Bundle VST v1.02
"Antares Harmony Engine VST RTAS_is1" = Antares Harmony Engine VST RTAS v1.0
"ARP2600 V_is1" = ARP2600 V 1.2
"ASAPI Update" = ASAPI Update
"Aspell English Dictionary_is1" = Aspell English Dictionary-0.50-2
"Atmosphere_is1" = Atmosphere
"AudioConverter Studio_is1" = AudioConverter Studio 6.0
"AutoGK" = Auto Gordian Knot 2.55
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AviSynth" = AviSynth 2.5
"Camel Audio Camel Space VST v1.15" = Camel Audio Camel Space VST v1.15
"Camel Audio Cameleon 5000 VSTi v1.6" = Camel Audio Cameleon 5000 VSTi v1.6
"CanoScan Toolbox 5.0" = Canon CanoScan Toolbox 5.0
"CdaC13Ba" = SafeCast Shared Components
"CorelDRAW 10" = CorelDRAW 10
"Digital Editions" = Adobe Digital Editions
"Driver Cleaner Pro" = DH Driver Cleaner Professional Edition
"DVD Shrink DE_is1" = DVD Shrink 3.2 deutsch
"DVDFab 6_is1" = DVDFab 6.0.7.0 (18/09/2009)
"DVDFab 7_is1" = DVDFab 7.0.8.2 (17/07/2010)
"DVDFab Decrypter_is1" = DVDFab Decrypter 3.0.9.6
"DVDFab HD Decrypter 4_is1" = DVDFab HD Decrypter 4.1.0.2
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"FileZilla Client" = FileZilla Client 3.0.7
"FixFoto_is1" = FixFoto 3.01
"FolderSort" = FolderSort
"Fraps" = Fraps (remove only)
"Free CD Ripper_is1" = Free CD Ripper 3.1
"Free Download Manager_is1" = Free Download Manager 2.5
"GFORCE_SOFTWARE_MINIMONSTA_RTAS_VSTi_v1.04-PLZ" = GFORCE_SOFTWARE_MINIMONSTA_RTAS_VSTi_v1.04-PLZ
"GNU Aspell_is1" = GNU Aspell 0.50-3
"GraphicsMagick 1.1.10 Q16_is1" = GraphicsMagick 1.1.10 Q16 (2007-09-19)
"GraphicsMagick 1.3.8 Q16_is1" = GraphicsMagick 1.3.8 Q16 (2010-01-21)
"GTK 2.0" = GTK+ Runtime 2.12.1 rev b (nur entfernen)
"Guild Wars" = GUILD WARS
"Guru" = Guru
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ImageMagick 6.3.7 Q16_is1" = ImageMagick 6.3.7-2 Q16 (12/15/07)
"ImageMagick 6.3.8 Q16_is1" = ImageMagick 6.3.8-4 Q16 (02/01/08)
"InstallShield_{578FA426-47C0-4A3F-98A4-01ACD26B7556}" = LEGO Star Wars II
"InstallShield_{C20CE592-B0F8-4D20-BF31-0151CA6331A6}" = EmoDio
"InterActual Player" = InterActual Player
"IrfanView" = IrfanView (remove only)
"IsoBuster_is1" = IsoBuster 2.1
"Korg Legacy Collection v1.1.9" = Korg Legacy Collection v1.1.9
"Kyocera FS-1100 / FS-1300D Printer Library" = Kyocera FS-1100 / FS-1300D Printer Library
"LeechFTP" = LeechFTP 
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.0" = Microsoft .NET Framework 3.0
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Moog Modular V 2_is1" = Moog Modular V 2.2
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"Mozilla Thunderbird (2.0.0.12)" = Mozilla Thunderbird (2.0.0.12)
"Mp3tag" = Mp3tag v2.44
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Native Instruments Absynth v3.0" = Native Instruments Absynth v3.0
"Native Instruments Komplete 4" = Native Instruments Komplete 4
"Native Instruments Komplete 4 DXi" = Native Instruments Komplete 4 DXi
"Native Instruments Komplete 4 Patch" = Native Instruments Komplete 4 Patch
"Native Instruments Komplete 4 RTAS" = Native Instruments Komplete 4 RTAS
"Native Instruments Massive" = Native Instruments Massive
"nbi-nb-base-6.9.1.0.0" = NetBeans IDE 6.9.1
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Pidgin" = Pidgin
"pidgin-otr" = pidgin-otr 3.1.0-1
"Predator_is1" = Rob Papen Predator V1.1 b
"Proteus VX" = Proteus VX
"PSPad editor_is1" = PSPad editor
"RealPlayer 6.0" = RealPlayer
"Reason4_is1" = Reason 4.0
"reFX Nexus 1.0.9_is1" = reFX Nexus 1.0.9
"Regex Power!_is1" = Regex Power! rev 1.001
"RKU" = Rootkit Unhooker Uninstall
"Scratch" = Scratch
"ST6UNST #1" = CamSort 1.03
"Steinberg Cubase SX v3.1.1.944" = Steinberg Cubase SX v3.1.1.944
"Steinberg WaveLab 5.01b" = Steinberg WaveLab 5.01b
"Steinberg Xphraze" = Steinberg Xphraze
"StylusRMX" = StylusRMX
"SyncroSoft Emu" = SyncroSoft Emu (Remove only)
"Syncrosoft's License Control" = Syncrosofts Lizenz Kontrolle
"Sytrus" = Sytrus
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"Tone2 Gladiator Retail_is1" = Gladiator v1.2.2.0
"Trilogy_is1" = Trilogy
"VirtualCloneDrive" = VirtualCloneDrive
"VLC media player" = VLC media player 1.0.3
"VobSub" = VobSub v2.23 (Remove Only)
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = GIMP 2.4.2
"WinHTTrack Website Copier_is1" = WinHTTrack Website Copier 3.43-9C
"winscp3_is1" = WinSCP 4.0.3
"WMFDist11" = Windows Media Format 11 runtime

"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"XviD MPEG4 Video Codec" = XviD MPEG4 Video Codec (remove only)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1004336348-651377827-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"430e2e66664ec9c3" = RegEx Tool
"5c2c80e4156c209c" = Wps RegEx
"BitTorrent" = BitTorrent
"UnityWebPlayer" = Unity Web Player
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 16.10.2010 13:19:53 | Computer Name = BLACKSUN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
Error - 17.10.2010 02:17:17 | Computer Name = BLACKSUN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
Error - 17.10.2010 16:40:06 | Computer Name = BLACKSUN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
Error - 17.10.2010 17:03:16 | Computer Name = BLACKSUN | Source = MPSampleSubmission | ID = 5000
Description = 
 
Error - 18.10.2010 09:27:15 | Computer Name = BLACKSUN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
Error - 18.10.2010 10:10:45 | Computer Name = BLACKSUN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
Error - 18.10.2010 11:05:34 | Computer Name = BLACKSUN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
Error - 18.10.2010 13:36:00 | Computer Name = BLACKSUN | Source = ESENT | ID = 490
Description = svchost (1264) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 18.10.2010 13:36:01 | Computer Name = BLACKSUN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
Error - 19.10.2010 06:51:22 | Computer Name = BLACKSUN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
[ System Events ]
Error - 20.10.2010 06:31:24 | Computer Name = BLACKSUN | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
 fehlgeschlagen. Stellen  Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
 vorhanden ist und dass diese  groß genug ist, um den gesamten physikalischen Speicher
 abbilden zu können.
 
Error - 20.10.2010 08:52:48 | Computer Name = BLACKSUN | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 20.10.2010 08:52:48 | Computer Name = BLACKSUN | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.
 
Error - 20.10.2010 08:52:48 | Computer Name = BLACKSUN | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
 fehlgeschlagen. Stellen  Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
 vorhanden ist und dass diese  groß genug ist, um den gesamten physikalischen Speicher
 abbilden zu können.
 
Error - 20.10.2010 09:07:05 | Computer Name = BLACKSUN | Source = PlugPlayManager | ID = 11
Description = Das Gerät "Root\LEGACY_SLAGVE\0000" wurde ohne vorbereitende Maßnahmen
 vom System entfernt.
 
Error - 20.10.2010 16:18:27 | Computer Name = BLACKSUN | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.
 
Error - 20.10.2010 16:18:27 | Computer Name = BLACKSUN | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
 fehlgeschlagen. Stellen  Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
 vorhanden ist und dass diese  groß genug ist, um den gesamten physikalischen Speicher
 abbilden zu können.
 
Error - 21.10.2010 04:48:33 | Computer Name = BLACKSUN | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.
 
Error - 21.10.2010 04:48:33 | Computer Name = BLACKSUN | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
 fehlgeschlagen. Stellen  Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
 vorhanden ist und dass diese  groß genug ist, um den gesamten physikalischen Speicher
 abbilden zu können.
 
Error - 21.10.2010 07:15:16 | Computer Name = BLACKSUN | Source = Service Control Manager | ID = 7034
Description = Dienst "A7961B9F" wurde unerwartet beendet. Dies ist bereits 1 Mal
 passiert.
 
 
< End of report >
         

Über Hilfe würde ich mich sehr freuen. Vielen Dank im Voraus...

Gruß
Didi

Alt 21.10.2010, 18:18   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
DRV - (rkhdrv40) --  File not found
DRV - (CLEDX) -- C:\WINDOWS\system32\drivers\cledx.sys (Team H2O)
O4 - HKLM..\Run: [H2O] C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
O33 - MountPoints2\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\Shell\AutoRun\command - "" = F:\Setup.exe -- File not found
@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A5B56640
:Files
C:\Programme\Syncrosoft\POS\H2O
C:\WINDOWS\system32\drivers\cledx.sys
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________

__________________

Alt 21.10.2010, 19:33   #3
didi stulle
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Hallo Arne,

vielen Dank für Deine Antwort. Habe mit OTL gefixt und folgendes Log-File bekommen:

Code:
ATTFilter
All processes killed
========== OTL ==========
Service rkhdrv40 stopped successfully!
Service rkhdrv40 deleted successfully!
File   File not found not found.
Error: Unable to stop service CLEDX!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLEDX deleted successfully.
C:\WINDOWS\system32\drivers\cledx.sys moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\H2O deleted successfully.
C:\Programme\Syncrosoft\POS\H2O\cledx.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ce0fc0c1-9447-11dc-9a34-806d6172696f}\ not found.
File F:\Setup.exe not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A5B56640 deleted successfully.
========== FILES ==========
C:\Programme\Syncrosoft\POS\H2O\html_elements folder moved successfully.
C:\Programme\Syncrosoft\POS\H2O folder moved successfully.
File\Folder C:\WINDOWS\system32\drivers\cledx.sys not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Jonas
->Temp folder emptied: 1379921 bytes
->Temporary Internet Files folder emptied: 15754590 bytes
->Java cache emptied: 357135 bytes
->FireFox cache emptied: 60269294 bytes
->Flash cache emptied: 8493 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Michael
->Temp folder emptied: 215128691 bytes
->Temporary Internet Files folder emptied: 214158365 bytes
->Java cache emptied: 11803128 bytes
->FireFox cache emptied: 68634809 bytes
->Opera cache emptied: 462356 bytes
->Flash cache emptied: 42261 bytes
 
User: NetworkService
->Temp folder emptied: 2312990 bytes
->Temporary Internet Files folder emptied: 27269883 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2129337 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4943357 bytes
RecycleBin emptied: 846114 bytes
 
Total Files Cleaned = 597,00 mb
 
 
OTL by OldTimer - Version 3.2.16.0 log created on 10212010_202428

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\SFE103DE9.tmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...
         
Scheint mir, als hast Du einen Verdacht...

Gruß
Didi
__________________

Alt 21.10.2010, 19:48   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Zitat:
Scheint mir, als hast Du einen Verdacht...
Wieso das?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.10.2010, 21:32   #5
didi stulle
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Na, ich vermute mal, dass Du die Scriptzeilen speziell aus den OTL-Logs zusammen stellst und nach einem bestimmten Verhaltensmuster solcher Viren vorgehst. Da ist ja jede Bereinigung ein Sonderfall...


Alt 21.10.2010, 22:13   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Ja so ist es, ist ne Menge Erfahrung mit drin
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)

Alt 21.10.2010, 23:57   #7
didi stulle
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Puh, jetzt hab ich aber ganz schön geschwitzt...

ComboFix hatte zwischendurch eine Dialogbox geöffnet, in der einfach nur "Fehler" stand und dann neu gestartet. AntiVir, Defender und Firewall waren deaktiviert. Der zweite Neustart kam mit dem Hinweis "Rootkitaktivitäten" daher. Nach dem dritten Neustart hatte sich dann doch AntiVir gemeldet. Die Meldung bezog sich auf das Verzeichnis c:\qoobox. Dummerweise hab ich mit "in Quarantäne verschieben" reagiert. Nachdem ComboFix fertig war, hab ich erst gesehen, dass dieses Verzeichnis zu ComboFix gehört.

Hier ist das Protokoll:


Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-20.04 - *** 22.10.2010   0:16.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Anwendungsdaten\inst.exe
c:\windows\system32\Data
c:\windows\system32\muzapp.exe

Infizierte Kopie von c:\windows\system32\drivers\mouclass.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-21 bis 2010-10-21  ))))))))))))))))))))))))))))))
.

2010-10-21 21:44 . 2010-10-21 21:44	--------	d-----w-	c:\programme\CCleaner
2010-10-21 18:24 . 2010-10-21 18:24	--------	d-----w-	C:\_OTL
2010-10-20 13:10 . 2010-10-20 13:10	--------	d-----w-	C:\RkUnhooker
2010-10-20 10:53 . 2010-10-18 07:41	6146896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\{8263249B-E77E-4FFC-B2E9-1B8680AFFE91}\mpengine.dll
2010-10-19 10:59 . 2010-10-19 10:59	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-10-18 17:37 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-18 17:37 . 2010-10-18 17:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-18 17:37 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-18 14:57 . 2010-10-20 14:00	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-10-16 18:55 . 2010-10-16 18:55	--------	d-----w-	c:\dokumente und einstellungen\***\.netbeans-derby
2010-10-16 17:59 . 2010-10-16 18:02	--------	d-----w-	c:\dokumente und einstellungen\***\.netbeans
2010-10-16 17:59 . 2010-10-16 17:59	--------	d-----w-	c:\dokumente und einstellungen\***\.netbeans-registration
2010-10-16 17:56 . 2010-10-16 17:59	--------	d-----w-	c:\programme\NetBeans 6.9.1
2010-10-16 17:55 . 2010-10-16 18:02	--------	d-----w-	c:\dokumente und einstellungen\***\.nbi
2010-10-16 12:23 . 2010-10-16 12:23	--------	d-----w-	c:\programme\Regex Power!
2010-10-16 12:17 . 2010-10-16 12:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WpsRegEx
2010-10-16 12:17 . 2010-10-16 17:36	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Deployment
2010-10-07 18:29 . 2010-10-07 18:29	1409	----a-w-	c:\windows\QTFont.for
2010-10-06 18:55 . 2010-10-06 18:55	--------	d-----w-	c:\programme\advanced_renamer_portable
2010-10-06 17:40 . 2010-10-06 17:40	49152	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}\NewShortcut21_65EFA0CB403943C5A40BFD2784C7E05E.exe
2010-10-06 17:40 . 2010-10-06 17:40	49152	----a-r-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}\NewShortcut2_65EFA0CB403943C5A40BFD2784C7E05E.exe
2010-10-06 17:40 . 2010-10-06 17:40	--------	d-----w-	c:\programme\Tools&More
2010-10-04 15:48 . 2010-10-04 15:48	--------	d-----w-	c:\programme\WinHTTrack
2010-10-02 18:38 . 2010-09-14 23:02	718296	----a-w-	c:\programme\Mozilla Firefox\mozcpp19.dll
2010-10-02 18:38 . 2010-09-14 23:02	14808	----a-w-	c:\programme\Mozilla Firefox\plugin-container.exe
2010-10-02 18:01 . 2010-09-14 23:02	11663832	----a-w-	c:\programme\Mozilla Firefox\xul.dll
2010-10-02 18:01 . 2010-09-14 23:02	467928	----a-w-	c:\programme\Mozilla Firefox\sqlite3.dll
2010-10-02 18:01 . 2010-09-14 23:02	87512	----a-w-	c:\programme\Mozilla Firefox\nssutil3.dll
2010-10-02 18:01 . 2010-09-14 20:41	98304	----a-w-	c:\programme\Mozilla Firefox\nssdbm3.dll
2010-10-02 18:01 . 2010-09-14 23:02	718296	----a-w-	c:\programme\Mozilla Firefox\mozcrt19.dll
2010-10-02 18:01 . 2010-09-14 23:02	105432	----a-w-	c:\programme\Mozilla Firefox\crashreporter.exe
2010-10-02 18:01 . 2010-09-14 23:02	23512	----a-w-	c:\programme\Mozilla Firefox\components\browserdirprovider.dll
2010-10-02 18:01 . 2010-09-14 23:02	138712	----a-w-	c:\programme\Mozilla Firefox\components\brwsrcmp.dll
2010-09-22 17:26 . 2010-09-22 17:26	--------	d-----w-	c:\dokumente und einstellungen\***user2***\Anwendungsdaten\OpenOffice.org

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"E-MU USB Audio Control Panel"="c:\programme\Creative Professional\E-MU USB Audio\E-MU USB Audio\EmuUsbAudioCP.exe" [2006-11-17 274432]
"NBJ"="c:\progra~1\Ahead\NEROBA~1\NBJ.exe" [2004-09-07 1871872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\programme\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2007-12-11 286720]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-02 13570048]
"nwiz"="nwiz.exe" [2008-08-02 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-02 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SMSTray"="c:\programme\Samsung\EmoDio\SMSTray.exe" [2009-04-16 479232]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-1 113664]
Color Calibration.lnk - c:\programme\SEC\MT2.5_RAFF\GammaTray.exe [2007-12-19 36864]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\mysql-5.0.15-win32\\bin\\mysqld.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\LeechFTP\\Leechftp.exe"=
"e:\\Der Herr der Ringe Online\\lotroclient.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Free Download Manager\\fdm.exe"=
"c:\\Programme\\eclipse_pdt\\eclipse.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\xampp\\apache\\bin\\httpd.exe"=
"c:\\Programme\\eclipse_php_galileo\\eclipse.exe"=
"e:\\DIE SIEDLER - Das Erbe der Könige\\Bin\\settlershok.exe"=
"e:\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"=
"e:\\Stronghold Crusader\\Stronghold Crusader.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"e:\\Stronghold\\Stronghold.exe"=

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [04.12.2007 21:04 11264]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.03.2009 21:01 108289]
R2 emaudsv;E-MU Audio Service;c:\windows\system32\emaudsv.exe [20.11.2006 11:29 10240]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 20:19 13592]
R3 emusba10;E-MU USB-Audio 1.0 Driver;c:\windows\system32\drivers\emusba10.sys [20.11.2006 11:29 142208]
S3 FXDrv32;FXDrv32;\??\f:\fxdrv32.sys --> f:\FXDrv32.sys [?]
S4 Asiosvc;Asiosvc;c:\windows\system32\drivers\cledx.sys --> c:\windows\system32\drivers\cledx.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.12.2007 00:29 685816]
.
Inhalt des "geplante Tasks" Ordners

2010-10-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
TCP: {1B7B951D-F6B8-4B97-ADD3-3955A329D9AE} = 192.168.0.254
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4n0ecytw.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\loader\npUnity3D32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
txtfile="c:\programme\PSPad editor\PSPad.exe" "%1"
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Corel Reminder - (no file)
AddRemove- FS-1300D Printer Library - c:\programme\Kyocera\FS-1100
AddRemove-UnityWebPlayer - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\Uninstall.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1004336348-651377827-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{03DC6D65-D909-95F1-F0FC-D28AEC1627A2}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iacjnopmhafhmconkd"=hex:6b,61,61,64,61,6f,6d,6b,6c,70,68,6a,6c,69,69,68,65,63,
   69,63,69,6f,00,00
"hamjcgpafebeeiac"=hex:6b,61,61,64,62,6f,70,6b,63,69,61,6f,6e,6d,62,62,6d,6c,
   70,67,63,62,00,00
.
Zeit der Fertigstellung: 2010-10-22  00:22:50
ComboFix-quarantined-files.txt  2010-10-21 22:22

Vor Suchlauf: 15 Verzeichnis(se), 75.444.310.016 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 75.434.823.680 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 37E27FA4239D27FB40A31DE623761AFE

--- --- ---
         

Was da auch immer dort passiert sein mag

Gruß
Didi

Alt 22.10.2010, 17:47   #8
didi stulle
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Hallo Arne,

Sorry, ich will ja nicht ungeduldig sein, aber sind wir schon fertig?

Der Rechner war inzwischen runtergefahren. Ich hoffe, das ist kein Problem...

Gruß
Didi

Alt 22.10.2010, 22:49   #9
didi stulle
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Hallo nochmal,

ich hoffe, der Thread ist noch nicht beendet...

So wie es ausschaut, ist die Google-Weiterleitung passé. Beim Neustart während des ComboFix-Durchlaufs hatte AntiVir noch eine Meldung von sich gegeben. Ich habe mal nachgeschaut:

Code:
ATTFilter
In der Datei 'C:\Qoobox\32788R22FWJFW\mouclass.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
         
Und der Guard hat so eben den gleichen Trojaner erkannt:

Code:
ATTFilter
In der Datei 'C:\System Volume Information\_restore{6FD669A7-1FA6-471C-895E-33B67CAEB89F}\RP447\A0031406.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         
Ich dachte erst, das Verzeichnis C:\Qoobox ist eine Auslagerung von ComboFix. Inzwischen bin ich mir aber nicht mehr sicher. Es wäre schön, wenn wir an dieser Stelle weiter machen könnten, weil AntiVir das wohl nicht im Griff hat.

Wünsche einen schönen Freitag Abend

Gruß
Didi

Alt 23.10.2010, 18:59   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Qoobox ist von CF, System Volume Information für die Wiederherstellungspunkte.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Regnull::
[HKEY_USERS\S-1-5-21-1004336348-651377827-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{03DC6D65-D909-95F1-F0FC-D28AEC1627A2}*]

File::
c:\windows\system32\drivers\cledx.sys

Driver::
FXDrv32
Asiosvc
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.10.2010, 07:46   #11
didi stulle
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Vor dem Scan mit ComboFix hat sich das Programm aktualisiert. Nach dem Computer-Neustart ließe sich leider nicht verhindern, dass AntiVir und WindowsDefender wieder aktiv waren. Ich hoffe, das ist kein Problem.

Hier die Log-Datei von ComboFix:


Code:
ATTFilter
ComboFix 10-10-23.01 - *** 24.10.2010   8:25.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.3327.2876 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
"c:\windows\system32\drivers\cledx.sys"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FXDRV32
-------\Service_Asiosvc
-------\Service_FXDrv32


(((((((((((((((((((((((   Dateien erstellt von 2010-09-24 bis 2010-10-24  ))))))))))))))))))))))))))))))
.

2010-10-21 21:44 . 2010-10-21 21:44    --------    d-----w-    c:\programme\CCleaner
2010-10-21 18:24 . 2010-10-21 18:24    --------    d-----w-    C:\_OTL
2010-10-20 13:10 . 2010-10-20 13:10    --------    d-----w-    C:\RkUnhooker
2010-10-20 10:53 . 2010-10-18 07:41    6146896    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\{8263249B-E77E-4FFC-B2E9-1B8680AFFE91}\mpengine.dll
2010-10-19 10:59 . 2010-10-19 10:59    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-10-18 17:37 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-18 17:37 . 2010-10-18 17:37    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-18 17:37 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-10-18 14:57 . 2010-10-20 14:00    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-10-16 18:55 . 2010-10-16 18:55    --------    d-----w-    c:\dokumente und einstellungen\***\.netbeans-derby
2010-10-16 17:59 . 2010-10-16 18:02    --------    d-----w-    c:\dokumente und einstellungen\***\.netbeans
2010-10-16 17:59 . 2010-10-16 17:59    --------    d-----w-    c:\dokumente und einstellungen\***\.netbeans-registration
2010-10-16 17:56 . 2010-10-16 17:59    --------    d-----w-    c:\programme\NetBeans 6.9.1
2010-10-16 17:55 . 2010-10-16 18:02    --------    d-----w-    c:\dokumente und einstellungen\***\.nbi
2010-10-16 12:23 . 2010-10-16 12:23    --------    d-----w-    c:\programme\Regex Power!
2010-10-16 12:17 . 2010-10-16 12:17    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\WpsRegEx
2010-10-16 12:17 . 2010-10-16 17:36    --------    d-----w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Deployment
2010-10-07 18:29 . 2010-10-07 18:29    1409    ----a-w-    c:\windows\QTFont.for
2010-10-06 18:55 . 2010-10-06 18:55    --------    d-----w-    c:\programme\advanced_renamer_portable
2010-10-06 17:40 . 2010-10-06 17:40    49152    ----a-r-    c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}\NewShortcut21_65EFA0CB403943C5A40BFD2784C7E05E.exe
2010-10-06 17:40 . 2010-10-06 17:40    49152    ----a-r-    c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Installer\{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}\NewShortcut2_65EFA0CB403943C5A40BFD2784C7E05E.exe
2010-10-06 17:40 . 2010-10-06 17:40    --------    d-----w-    c:\programme\Tools&More
2010-10-04 15:48 . 2010-10-04 15:48    --------    d-----w-    c:\programme\WinHTTrack
2010-10-02 18:38 . 2010-09-14 23:02    718296    ----a-w-    c:\programme\Mozilla Firefox\mozcpp19.dll
2010-10-02 18:38 . 2010-09-14 23:02    14808    ----a-w-    c:\programme\Mozilla Firefox\plugin-container.exe
2010-10-02 18:01 . 2010-09-14 23:02    11663832    ----a-w-    c:\programme\Mozilla Firefox\xul.dll
2010-10-02 18:01 . 2010-09-14 23:02    467928    ----a-w-    c:\programme\Mozilla Firefox\sqlite3.dll
2010-10-02 18:01 . 2010-09-14 23:02    87512    ----a-w-    c:\programme\Mozilla Firefox\nssutil3.dll
2010-10-02 18:01 . 2010-09-14 20:41    98304    ----a-w-    c:\programme\Mozilla Firefox\nssdbm3.dll
2010-10-02 18:01 . 2010-09-14 23:02    718296    ----a-w-    c:\programme\Mozilla Firefox\mozcrt19.dll
2010-10-02 18:01 . 2010-09-14 23:02    105432    ----a-w-    c:\programme\Mozilla Firefox\crashreporter.exe
2010-10-02 18:01 . 2010-09-14 23:02    23512    ----a-w-    c:\programme\Mozilla Firefox\components\browserdirprovider.dll
2010-10-02 18:01 . 2010-09-14 23:02    138712    ----a-w-    c:\programme\Mozilla Firefox\components\brwsrcmp.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-21 20:26 . 2007-12-30 13:32    0    --sh--w-    c:\windows\SFE103DE9.tmp
2010-09-17 14:28 . 2009-03-22 19:01    56816    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2010-08-21 21:08 . 2010-08-21 21:08    253952    ------w-    c:\windows\Setup1.exe
2010-08-21 21:08 . 2010-08-21 21:08    74752    ----a-w-    c:\windows\ST6UNST.EXE
2010-08-18 00:31 . 2007-11-16 15:28    5934416    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-10-21_22.20.34   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-24 06:31 . 2010-10-24 06:31    16384              c:\windows\Temp\Perflib_Perfdata_75c.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"E-MU USB Audio Control Panel"="c:\programme\Creative Professional\E-MU USB Audio\E-MU USB Audio\EmuUsbAudioCP.exe" [2006-11-17 274432]
"NBJ"="c:\progra~1\Ahead\NEROBA~1\NBJ.exe" [2004-09-07 1871872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\programme\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 94208]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2007-12-11 286720]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-02 13570048]
"nwiz"="nwiz.exe" [2008-08-02 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-02 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SMSTray"="c:\programme\Samsung\EmoDio\SMSTray.exe" [2009-04-16 479232]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-1 113664]
Color Calibration.lnk - c:\programme\SEC\MT2.5_RAFF\GammaTray.exe [2007-12-19 36864]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\mysql-5.0.15-win32\\bin\\mysqld.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\LeechFTP\\Leechftp.exe"=
"e:\\Der Herr der Ringe Online\\lotroclient.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Free Download Manager\\fdm.exe"=
"c:\\Programme\\eclipse_pdt\\eclipse.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\xampp\\apache\\bin\\httpd.exe"=
"c:\\Programme\\eclipse_php_galileo\\eclipse.exe"=
"e:\\DIE SIEDLER - Das Erbe der Könige\\Bin\\settlershok.exe"=
"e:\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"=
"e:\\Stronghold Crusader\\Stronghold Crusader.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"e:\\Stronghold\\Stronghold.exe"=

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [04.12.2007 21:04 11264]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.03.2009 21:01 108289]
R2 emaudsv;E-MU Audio Service;c:\windows\system32\emaudsv.exe [20.11.2006 11:29 10240]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 20:19 13592]
R3 emusba10;E-MU USB-Audio 1.0 Driver;c:\windows\system32\drivers\emusba10.sys [20.11.2006 11:29 142208]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.12.2007 00:29 685816]
.
Inhalt des "geplante Tasks" Ordners

2010-10-24 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
TCP: {1B7B951D-F6B8-4B97-ADD3-3955A329D9AE} = 192.168.0.254
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4n0ecytw.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\loader\npUnity3D32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-24 08:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3836)
c:\windows\system32\WPDShServiceObj.dll
c:\programme\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\programme\CyberLink\Shared files\RichVideo.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-24  08:36:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-24 06:36
ComboFix2.txt  2010-10-21 22:26

Vor Suchlauf: 15 Verzeichnis(se), 75.149.762.560 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 75.160.977.408 Bytes frei

- - End Of File - - 560B3E01BDF842797B1A0D9CB48FBA26
         


Gruß
Didi

PS: Bin erst heute Abend wieder online...

Alt 24.10.2010, 13:55   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.10.2010, 07:19   #13
didi stulle
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Hallo Arne,

sorry, hat etwas gedauert. Ich hoffe, Du hattest ein vierenfreies Wochenende.

Hier das Log-File von GMER:


GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15477 - hxxp://www.gmer.net
Rootkit scan 2010-10-25 07:01:00
Windows 5.1.2600 Service Pack 2
Running: j1tvdv9m.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\uxdcqpog.sys


---- System - GMER 1.0.15 ----

SSDT     BAF641DE                                                                                              ZwCreateKey
SSDT     BAF641D4                                                                                              ZwCreateThread
SSDT     BAF641E3                                                                                              ZwDeleteKey
SSDT     BAF641ED                                                                                              ZwDeleteValueKey
SSDT     BAF641F2                                                                                              ZwLoadKey
SSDT     BAF641C0                                                                                              ZwOpenProcess
SSDT     BAF641C5                                                                                              ZwOpenThread
SSDT     BAF641FC                                                                                              ZwReplaceKey
SSDT     BAF641F7                                                                                              ZwRestoreKey
SSDT     BAF641E8                                                                                              ZwSetValueKey
SSDT     BAF641CF                                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text    ntkrnlpa.exe!ZwCallbackReturn + 2F70                                                                  80503E4C 4 Bytes  CALL ED0B3492 
.text    C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                              section is writeable [0xB9DD9360, 0x32B2AD, 0xE8000020]
pnidata  C:\WINDOWS\system32\DRIVERS\secdrv.sys                                                                unknown last section [0xB6333F00, 0x24000, 0x48000000]

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                      
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                   0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                0x9C 0xBF 0x50 0x0F ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)  
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                       0
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                    0x9C 0xBF 0x50 0x0F ...

---- EOF - GMER 1.0.15 ----
         
--- --- ---





OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 07:20:30 on 25.10.2010

OS: Windows XP Home Edition Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.16544

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"MP Scheduled Scan.job" - "Microsoft Corporation" - C:\Programme\Windows Defender\MpCmdRun.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ALSNDMGR.CPL" - "Realtek Semiconductor Corp." - C:\WINDOWS\system32\ALSNDMGR.CPL
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
"RTSndMgr.cpl" - "Realtek Semiconductor Corp." - C:\WINDOWS\system32\RTSndMgr.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Asapi" (Asapi) - "VOB Computersysteme GmbH" - C:\WINDOWS\system32\drivers\Asapi.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"CdaC15BA" (CdaC15BA) - "Macrovision Europe Ltd" - C:\WINDOWS\system32\drivers\CdaC15BA.SYS
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"E-MU USB-Audio 1.0 Driver" (emusba10) - "E-MU Systems" - C:\WINDOWS\System32\DRIVERS\emusba10.sys
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"ElbyDelay" (ElbyDelay) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyDelay.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MagicTune" (MagicTune) - ? - C:\WINDOWS\System32\drivers\MTiCtwl.sys  (File found, but it contains no detailed information)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Secdrv" (Secdrv) - "Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K." - C:\WINDOWS\System32\DRIVERS\secdrv.sys
"Service for Realtek HD Audio (WDM)" (IntcAzAudAddService) - "Realtek Semiconductor Corp." - C:\WINDOWS\System32\drivers\RtkHDAud.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"uxdcqpog" (uxdcqpog) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\uxdcqpog.sys  (Hidden registry entry, rootkit activity | File not found)
"VClone" (VClone) - "Elaborate Bytes AG" - C:\WINDOWS\System32\DRIVERS\VClone.sys
"VSO Software pcouffin" (pcouffin) - "VSO Software" - C:\WINDOWS\System32\Drivers\pcouffin.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{7D4D6379-F301-4311-BEBA-E26EB0561882} "{7D4D6379-F301-4311-BEBA-E26EB0561882}" - ? -   (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} "Microsoft AntiMalware ShellExecuteHook" - "Microsoft Corporation" - C:\PROGRA~1\WIFD1F~1\MpShHook.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD} "CorelDRAW Shell-Erweiterungskomponente" - ? - C:\Programme\Corel\Graphics10\Draw\CdrViewer\CrlShell100.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682} "IZArc DragDrop Menu" - ? - C:\Programme\IZArc\IZArcCM.dll  (File found, but it contains no detailed information)
{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5} "IZArc Shell Context Menu" - ? - C:\Programme\IZArc\IZArcCM.dll  (File found, but it contains no detailed information)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler" - ? -   (File not found | COM-object registry key not found)
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler" - ? -   (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{8903F6C9-25E3-40AC-A98F-E6D35CD0469C} "PSPad" - ? - C:\PROGRA~1\PSPADE~1\PSPADS~1.DLL  (File found, but it contains no detailed information)
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{27622C82-C54A-401B-AA92-13070E7BB19C} "ShellPlus test context menu" - ? - C:\PROGRA~1\AUDIOC~1\menu.dll  (File found, but it contains no detailed information)
{B7056B8E-4F99-44f8-8CBD-282390FE5428} "VirtualCloneDrive Shell Extension" - "Elaborate Bytes AG" - C:\Programme\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll
{45670FA8-ED97-4F44-BC93-305082590BFB} "Windows XPS Document Metadata Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{44121072-A222-48f2-A58A-6D9AD51EBBE9} "Windows XPS Document Thumbnail Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{CC59E0F9-7E43-44FA-9FAA-8377850BF205} "FDMIECookiesBHO Class" - ? - C:\Programme\Free Download Manager\iefdm2.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Gamma Loader.lnk" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe  (Shortcut exists | File exists)
"Color Calibration.lnk" - ? - C:\Programme\SEC\MT2.5_RAFF\GammaTray.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini
"OpenOffice.org 3.1.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"E-MU USB Audio Control Panel" - "E-MU Systems" - "C:\Programme\Creative Professional\E-MU USB Audio\E-MU USB Audio\EmuUsbAudioCP.exe"
"NBJ" - "Ahead Software AG" - "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"LanguageShortcut" - ? - C:\Programme\CyberLink\PowerDVD\Language\Language.exe
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"RemoteControl" - "Cyberlink Corp." - C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"SMSTray" - "SAMSUNG ELECTRONICS" - C:\Programme\Samsung\EmoDio\SMSTray.exe
"UpdReg" - "Creative Technology Ltd." - C:\WINDOWS\UpdReg.EXE
"VirtualCloneDrive" - "Elaborate Bytes AG" - "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
"Windows Defender" - "Microsoft Corporation" - "C:\Programme\Windows Defender\MSASCui.exe" -hide

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe LM Service" (Adobe LM Service) - ? - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"C-DillaCdaC11BA" (C-DillaCdaC11BA) - "Macrovision" - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\CyberLink\Shared files\RichVideo.exe
"E-MU Audio Service" (emaudsv) - "E-MU Systems" - C:\WINDOWS\system32\emaudsv.exe
"FileZilla Server FTP server" (FileZilla Server) - "FileZilla Project" - C:\xampp\filezillaftp\filezillaserver.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Defender" (WinDefend) - "Microsoft Corporation" - C:\Programme\Windows Defender\MsMpEng.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---


Und MBRCheck:

Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 2 (build 2600)
Logical Drives Mask:		0x000040fc

Kernel Drivers (total 133):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E3000 \WINDOWS\system32\hal.dll
  0xBADA8000 \WINDOWS\system32\KDCOM.DLL
  0xBACB8000 \WINDOWS\system32\BOOTVID.dll
  0xBA778000 ACPI.sys
  0xBADAA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xBA767000 pci.sys
  0xBA8A8000 ohci1394.sys
  0xBA8B8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xBA8C8000 isapnp.sys
  0xBAE70000 pciide.sys
  0xBAB28000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBA8D8000 MountMgr.sys
  0xBA748000 ftdisk.sys
  0xBAB30000 PartMgr.sys
  0xBA8E8000 VolSnap.sys
  0xBA730000 atapi.sys
  0xBA8F8000 jraid.sys
  0xBA718000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
  0xBA908000 disk.sys
  0xBA918000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xBA6F8000 fltMgr.sys
  0xBA6E6000 sr.sys
  0xBA928000 PxHelp20.sys
  0xBA6CF000 KSecDD.sys
  0xBA642000 Ntfs.sys
  0xBA615000 NDIS.sys
  0xBA5FB000 Mup.sys
  0xBADAC000 JGOGO.sys
  0xBAA98000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB9DD9000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB9DC5000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xBAC28000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB9DA1000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBAC30000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xBAAA8000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBADE0000 \SystemRoot\System32\Drivers\ElbyDelay.sys
  0xBAAB8000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBAAC8000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB9D7E000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBAC38000 \SystemRoot\System32\Drivers\Asapi.SYS
  0xB9D67000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
  0xBAAD8000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xB9D56000 \SystemRoot\system32\DRIVERS\serial.sys
  0xBADA0000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB9D42000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBAC40000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xBAF7C000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBAAF8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xBADA4000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB9D2B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBAB08000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBAB18000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xBAC48000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB9D1A000 \SystemRoot\system32\DRIVERS\psched.sys
  0xBA958000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBAC50000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBAC58000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xBA968000 \SystemRoot\System32\Drivers\pcouffin.sys
  0xBA978000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBAC60000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBAC68000 \SystemRoot\system32\DRIVERS\VClone.sys
  0xBADE2000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB9C21000 \SystemRoot\system32\DRIVERS\update.sys
  0xBA5CF000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xBA988000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xBA9C8000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBADE4000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xBADE6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBAEC6000 \SystemRoot\System32\Drivers\Null.SYS
  0xBADE8000 \SystemRoot\System32\Drivers\Beep.SYS
  0xBA9D8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBACA8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xBACB0000 \SystemRoot\System32\drivers\vga.sys
  0xBADEA000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBADEC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xBAB40000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xBAB78000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xBA3C0000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB6DC1000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB6D69000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB6D41000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB6D1F000 \SystemRoot\System32\drivers\afd.sys
  0xBA9E8000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xBAB80000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB6CF4000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB6C85000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBA9F8000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB6C63000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xBAA08000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xBAA18000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xBAD88000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xBAA28000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xBAB88000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xBAD8C000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xBAD90000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xBAB98000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
  0xB6B7F000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xB6B5C000 \SystemRoot\system32\DRIVERS\emusba10.sys
  0xBADF4000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xB6B4B000 \SystemRoot\System32\Drivers\Udfs.SYS
  0xB9CEA000 \SystemRoot\system32\drivers\usbaudio.sys
  0xB9CDA000 \SystemRoot\system32\drivers\drmk.sys
  0xB6B33000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xBAE16000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB6E08000 \SystemRoot\System32\drivers\Dxapi.sys
  0xBABC8000 \SystemRoot\System32\watchdog.sys
  0xBF9C3000 \SystemRoot\System32\drivers\dxg.sys
  0xBAFB4000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF9D5000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB67DF000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB67D3000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB68DB000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0xB6532000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xBAE1A000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB65A7000 \??\C:\WINDOWS\system32\drivers\CdaC15BA.SYS
  0xBAE22000 \SystemRoot\system32\drivers\splitter.sys
  0xBAA68000 \SystemRoot\system32\drivers\swmidi.sys
  0xB66FF000 \SystemRoot\system32\drivers\DMusic.sys
  0xB63FD000 \SystemRoot\system32\drivers\portcls.sys
  0xBAEB8000 \SystemRoot\system32\drivers\drmkaud.sys
  0xB6380000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB6330000 \SystemRoot\system32\DRIVERS\secdrv.sys
  0xB6270000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB5EBB000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB6010000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB5936000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB4FA3000 \??\C:\DOKUME~1\MBR\LOKALE~1\Temp\uxdcqpog.sys
  0xBABB8000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xB4F55000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 38):
       0 System Idle Process
       4 System
     680 C:\WINDOWS\system32\smss.exe
     732 csrss.exe
     756 C:\WINDOWS\system32\winlogon.exe
     800 C:\WINDOWS\system32\services.exe
     812 C:\WINDOWS\system32\lsass.exe
    1000 C:\WINDOWS\system32\svchost.exe
    1068 svchost.exe
    1156 C:\Programme\Windows Defender\MsMpEng.exe
    1196 C:\WINDOWS\system32\svchost.exe
    1356 svchost.exe
    1488 svchost.exe
    1632 C:\WINDOWS\system32\spoolsv.exe
    1668 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1820 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1832 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    1856 C:\WINDOWS\system32\emaudsv.exe
    1884 C:\Programme\Java\jre6\bin\jqs.exe
    1908 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    1956 C:\WINDOWS\system32\nvsvc32.exe
    1984 C:\Programme\CyberLink\Shared files\RichVideo.exe
     224 C:\WINDOWS\system32\svchost.exe
    1132 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    1256 alg.exe
    2684 C:\WINDOWS\system32\wscntfy.exe
    2800 C:\WINDOWS\explorer.exe
    2880 C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
    2896 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    2944 C:\WINDOWS\system32\rundll32.exe
    2952 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2960 C:\Programme\Samsung\EmoDio\SMSTray.exe
    2968 C:\Programme\Creative Professional\E-MU USB Audio\E-MU USB Audio\EmuUsbAudioCP.exe
    2120 C:\Programme\SEC\MT2.5_RAFF\GammaTray.exe
    1808 C:\Programme\OpenOffice.org 3\program\soffice.exe
    2204 C:\Programme\OpenOffice.org 3\program\soffice.bin
    1544 C:\Dokumente und Einstellungen\***\Desktop\osam_autorun_manager_5_0_portable\osam.exe
     552 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000003d`08be7a00  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000018`69e61600  (NTFS)
\\.\G: --> \\.\PhysicalDrive1 at offset 0x00000000`007e0000  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD321KJ, Rev: CP100-10
PhysicalDrive1 Model Number: SAMSUNGHD502IJ, Rev: 1AA01113

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
    465 GB  \\.\PhysicalDrive1   Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!
         

Mir wird ganz schwindelig bei diesen Zeilen...

Gruß
Didi

Alt 25.10.2010, 10:03   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.10.2010, 16:51   #15
didi stulle
 
Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Standard

Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)



Hier nochmal die Log-Files des letzten Scan mit Malewarebytes und SuperAntiSpyware. Mit Malewarebytes hatte ich nur einen Scan für Platte c: laufen lassen. Die anderen Platten hole ich gerade nach.

Witzig, dass SUPERAntiSpyware GMER als Trojan.Agent/Gen eingestuft hat.

Malewarebytes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4940

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

25.10.2010 12:51:33
mbam-log-2010-10-25 (12-51-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 268678
Laufzeit: 28 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
SuperAntiSpyware:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/25/2010 at 03:49 PM

Application Version : 4.44.1000

Core Rules Database Version : 5745
Trace Rules Database Version: 3557

Scan type       : Complete Scan
Total Scan Time : 02:38:28

Memory items scanned      : 505
Memory threats detected   : 0
Registry items scanned    : 6346
Registry threats detected : 0
File items scanned        : 609236
File threats detected     : 6

Trojan.Agent/Gen
	C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\J1TVDV9M.EXE
	C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\TROJANERBOARD\GMER.EXE
	G:\DOWNLOAD\SYSTEMTOOLS\ROOTKITTOOLS\GMER\GMER.EXE
	G:\DOWNLOAD\SYSTEMTOOLS\ROOTKITTOOLS\J1TVDV9M.EXE

Trojan.Agent/Gen-HackPatch
	G:\BACKUP\DATEN_DEZ_2008\20090101_133609_DOWNLOAD\D\DOWNLOAD\ENTWICKLUNG\MAGUMA\MAGUMA.WORKBENCH.2.6.1-PATCH.EXE
	G:\DOWNLOAD\ENTWICKLUNG\MAGUMA\MAGUMA.WORKBENCH.2.6.1-PATCH.EXE
         

Den Scan-Log der anderen Platten mit Malewarebytes liefere ich noch nach.

Eine Frage:
Soll ich SUPERAntiSpyware nochmal im abgesicherten Modus laufen lassen?

Gruß
Didi

Antwort

Themen zu Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)
0x00000001, 0xc0000001, alternate, antivir, avgntflt.sys, avira, bho, browser, cleaner pro, components, cubase, decrypter, entfernen, error, firefox, firefox.exe, flash player, fontcache, free download, google, home, homepage, internet browser, location, log-files, logfile, maßnahme, mozilla thunderbird, mp3, nexus, oldtimer, opera.exe, otl.exe, plug-in, programm, realtek, registry, saver, sched.exe, searchplugins, security, shell32.dll, software, sptd.sys, starten, studio, suchmaschine, system restore, tcp/ip, teamspeak, torrent.exe, trojaner, trojaner board, virus, vlc media player, windows internet




Ähnliche Themen: Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)


  1. Weiterleitung zu einem anderen Anbieter
    Log-Analyse und Auswertung - 25.10.2014 (3)
  2. W-Lan funktioniert nur bei meinem pc nicht auf anderen PCs schon
    Log-Analyse und Auswertung - 12.07.2013 (3)
  3. google links werden zu anderen suchmaschinen umgeleitet
    Log-Analyse und Auswertung - 11.07.2013 (27)
  4. Suchmaschinen Weiterleitung auf Werbeseiten
    Plagegeister aller Art und deren Bekämpfung - 07.06.2013 (8)
  5. Suchmaschinen Umleitung/redirect Infektion zu ivehtane und anderen Seiten
    Plagegeister aller Art und deren Bekämpfung - 13.05.2013 (11)
  6. Weiterleitung auf falsche Seiten (Suchmaschinen)
    Log-Analyse und Auswertung - 04.06.2012 (24)
  7. Weiterleitung zu Epoclick, Gomeo, google analytics, google websites, google anderer länder
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (6)
  8. gleiches Problem - Suchmaschinen - weiterleitung auf willkürliche Seiten
    Log-Analyse und Auswertung - 08.04.2011 (5)
  9. Suchmaschinen - weiterleitung auf willkürliche Seiten
    Log-Analyse und Auswertung - 07.04.2011 (29)
  10. Weiterleitung falsch bei Suchmaschinen
    Plagegeister aller Art und deren Bekämpfung - 14.12.2010 (1)
  11. Google Suchmaschinen Virus
    Log-Analyse und Auswertung - 18.01.2010 (6)
  12. Suchmaschinen Weiterleitung, Virus nach Formatierung
    Log-Analyse und Auswertung - 17.12.2009 (3)
  13. Internet geht auf meinem Rechner nicht mehr, auf allen anderen schon
    Alles rund um Windows - 12.10.2009 (3)
  14. weiterleitung zu anderen webseiten
    Log-Analyse und Auswertung - 21.02.2009 (0)
  15. Kann auf dem Server nicht surfen! Bei den anderen Clients schon!Hilfe!
    Log-Analyse und Auswertung - 18.10.2007 (17)
  16. wieder mal "Google Weiterleitung"
    Log-Analyse und Auswertung - 05.07.2006 (1)
  17. wieder mal ein Suchmaschinen Blocker
    Plagegeister aller Art und deren Bekämpfung - 02.12.2005 (31)

Zum Thema Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) - Hallo Trojaner Board, dieses augenscheinliche "Problemchen" scheint bei genauerem Betrachten zu einem intensiven Systemcheck zu führen. Bei den Postings zu diesem Thema hier, sieht es nach einer Spezialbehandlung zu ganz - Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...)...
Archiv
Du betrachtest: Weiterleitung von Google zu anderen Suchmaschinen (schon wieder...) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.