|
Plagegeister aller Art und deren Bekämpfung: Gozi Trojaner - mbam & OTL log zur PrüfungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.11.2010, 12:41 | #1 |
| Gozi Trojaner - mbam & OTL log zur Prüfung Hallo, ganz frisch hier im Forum und schon mit der Bitte um Hilfe: Auch meine Bank hat mich informiert, dass ich mit dem Gozi-Virus infiziert sei. Ich habe mir die anderen Threads zu dem Thema durchgelesen und schon mal Malwarebytes und OTL drüberlaufen lassen, die log-Dateien hänge ich an. Mbam habe einen vollständigen Scan machen lassen, bei OTL die Standarteinstellung (safelist) bei allem gelassen. Freue mich sehr über eure Hilfe, danke! |
05.11.2010, 12:51 | #2 |
/// Malware-holic | Gozi Trojaner - mbam & OTL log zur Prüfung ist das der einzige pc an dem du online banking gemacht hast?
__________________
__________________ |
05.11.2010, 12:54 | #3 |
| Gozi Trojaner - mbam & OTL log zur Prüfung Soweit ich weiß, ja. Warum - findest du auch nichts?
__________________ |
05.11.2010, 12:55 | #4 |
/// Malware-holic | Gozi Trojaner - mbam & OTL log zur Prüfung so weit du weist? du musst doch wissen ob du an fremden pcs online banking machst :-) ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
05.11.2010, 13:16 | #5 |
| Gozi Trojaner - mbam & OTL log zur Prüfung Hier die neuen Logs: Code:
ATTFilter OTL logfile created on: 05.11.2010 13:00:39 - Run 2 OTL by OldTimer - Version 3.2.17.2 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 62,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 83,00% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 78,13 Gb Total Space | 58,56 Gb Free Space | 74,95% Space Free | Partition Type: NTFS Drive E: | 70,91 Gb Total Space | 70,76 Gb Free Space | 99,79% Space Free | Partition Type: NTFS Drive F: | 3,76 Gb Total Space | 2,37 Gb Free Space | 62,98% Space Free | Partition Type: FAT32 Computer Name: KINDERMA-AE068B | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\DATEV\PROGRAMM\B0001442\PSNTServ.exe (DATEV eG) PRC - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG) PRC - C:\DATEV\PROGRAMM\B0001363\SCmIdentityScanner.exe (DATEV eG) PRC - C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardManager.exe (DATEV eG) PRC - C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardService.exe (DATEV eG) PRC - C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe (DATEV eG) PRC - C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe (DATEV eG) PRC - C:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe (DATEV eG) PRC - C:\DATEV\PROGRAMM\B0001356\SpdyScProcessSrv.exe (KOBIL Systems) PRC - C:\DATEV\PROGRAMM\B0001356\mIDentity.exe (KOBIL Systems GmbH) PRC - C:\DATEV\PROGRAMM\B0001364\DTVSCSer.exe (DATEV eG) PRC - C:\Programme\Kobil Systems\Kobil mIDentity\msdisrv.exe (KOBIL Systems GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) PRC - C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe () PRC - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.) PRC - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe () PRC - C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe (Hewlett-Packard) PRC - C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\MSSCRDE.DLL (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe File not found SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH) SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (DATEV Update-Service) -- C:\DATEV\PROGRAMM\INSTALL\DvInesASDSvc.Exe (DATEV eG) SRV - (DatevPrintService) -- C:\DATEV\PROGRAMM\B0001442\PSNTServ.exe (DATEV eG) SRV - (SCardService) -- C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardService.exe (DATEV eG) SRV - (Dcmanag) -- C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe (DATEV eG) SRV - (DVckService) -- C:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe (DATEV eG) SRV - (KOBIL Container Encryption Control1) -- C:\DATEV\PROGRAMM\B0001356\SpdyScProcessSrv.exe (KOBIL Systems) SRV - (DVSmartCardLogon) -- C:\DATEV\PROGRAMM\B0001364\DTVSCSer.exe (DATEV eG) SRV - (KOBIL_MSDI) -- C:\Programme\Kobil Systems\Kobil mIDentity\msdisrv.exe (KOBIL Systems GmbH) SRV - (Belkin Wireless USB Network Adapter Service) -- C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe () SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\hpzipm12.exe (HP) SRV - (awhost32) -- C:\Programme\Symantec\pcAnywhere\awhost32.exe (Symantec Corporation) ========== Driver Services (SafeList) ========== DRV - (TSMPacket) -- C:\WINDOWS\System32\DRIVERS\tsmpkt.sys File not found DRV - (SetupNTGLM7X) -- D:\NTGLM7X.sys File not found DRV - (PCANDIS5) -- C:\PROGRA~1\GEMEIN~1\T-Com\DSLCheck\PCANDIS5.SYS File not found DRV - (NTACCESS) -- D:\NTACCESS.sys File not found DRV - (GMSIPCI) -- D:\INSTALL\GMSIPCI.SYS File not found DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (SC_Serv3D) -- C:\WINDOWS\system32\drivers\d3_kafm.sys (KOBIL Systems) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\alcxwdm.sys (Realtek Semiconductor Corp.) DRV - (RT73) -- C:\WINDOWS\system32\drivers\rt73.sys (Ralink Technology, Corp.) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation) DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices) DRV - (GVCplDrv) -- C:\WINDOWS\System32\drivers\GVCplDrv.sys () DRV - (AW_HOST) -- C:\WINDOWS\system32\drivers\AW_HOST5.sys (Symantec Corporation) DRV - (Gernuwa) -- C:\WINDOWS\System32\drivers\GERNUWA.sys (Symantec Corporation) DRV - (SymEvent) -- C:\Programme\Symantec\SYMEVENT.SYS (Symantec Corporation) DRV - (awlegacy) -- C:\WINDOWS\System32\Drivers\awlegacy.sys (Symantec Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/ IE - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> IE - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 198.110.1.3:1 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Google" FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=" FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "hxxp://www.t-online.de/" FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..network.proxy.no_proxies_on: "localhost,127.0.0.1" FF - HKLM\software\mozilla\Firefox\Extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c} [2008.12.04 19:38:01 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.0.15\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.02.12 10:10:28 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.0.15\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.10.13 14:06:47 | 000,000,000 | ---D | M] [2008.12.07 10:27:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2010.11.04 18:16:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8yoaqiov.default\extensions [2009.09.03 09:04:55 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8yoaqiov.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.09.20 09:01:34 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8yoaqiov.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.11.04 18:16:15 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2008.03.02 10:35:28 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.10.13 14:06:52 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2008.03.02 10:35:28 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions\google-gzfb@partners.mozilla.com [2010.10.13 14:06:21 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2007.12.19 13:57:38 | 000,310,272 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll [2005.05.09 12:21:44 | 000,337,920 | ---- | M] (iLinc Communications, Inc.) -- C:\Programme\Mozilla Firefox\plugins\NPiL77.dll [2009.11.28 14:10:31 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2009.11.28 14:10:31 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2009.11.28 14:10:31 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2009.11.28 14:10:31 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2009.11.28 14:10:31 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.11.04 15:09:38 | 000,424,775 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 14637 more lines... O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll (Google Inc.) O2 - BHO: (SCardBHOEvent Class) - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DVCCSASCardBHO002.dll (DATEV eG) O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.) O4 - HKLM..\Run: [AUTOSTARTEXECUTE] C:\DATEV\PROGRAMM\INSTALL\DvInesAutoStartHelper.Exe (DATEV eG) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [DATEV_SCardMan] C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardManager.exe (DATEV eG) O4 - HKLM..\Run: [DVCCSAWTSSetEntryNTE] C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe (DATEV eG) O4 - HKLM..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [StartSpeedy] C:\DATEV\PROGRAMM\B0001356\mIDentity.exe (KOBIL Systems GmbH) O4 - HKLM..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe (Hewlett-Packard) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe (Hewlett-Packard) O4 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1 O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.) O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datev.at ([]http is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datev.at ([]https is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datev.com ([]http is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datev.com ([]https is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datev.de ([]http is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datev.de ([]https is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datev.de ([www] http is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datev.de ([www] https is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datevnet.de ([*.services] http is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datevnet.de ([*.services] https is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datevstadt.de ([]http is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: datevstadt.de ([]https is out of zone range - 5) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Domains: fritz.box ([]* in Lokales Intranet) O15 - HKU\S-1-5-21-1482476501-1417001333-682003330-1003\..Trusted Ranges: Range1 ([*] in Lokales Intranet) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://www.apple.com/qtactivex/qtplugin.cab (QuickTime Plugin Control) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169054674609 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_05) O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Java Plug-in 1.5.0_11) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: GinaDLL - (C:\WINDOWS\system32\awgina.dll) - C:\WINDOWS\system32\awgina.dll (Symantec Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O20 - Winlogon\Notify\DVCCSA: DllName - DVCCSAnotify002.dll - C:\WINDOWS\System32\DVCCSAnotify002.dll (DATEV eG) O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.01.17 17:50:58 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - Unable to obtain root file information for disk E:\ O32 - AutoRun File - [2010.04.30 15:58:54 | 000,004,307 | ---- | M] () - F:\AutoUnattend.xml -- [ FAT32 ] O32 - Unable to obtain root file information for disk F:\ O33 - MountPoints2\{404a4750-819a-11de-8b66-00173fc5171b}\Shell\AutoRun\command - "" = setupSNK.exe O33 - MountPoints2\D\Shell - "" = AutoRun O33 - MountPoints2\D\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\setup.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sdauxservice - Reg Error: Value error. SafeBootMin: sdcoreservice - Reg Error: Value error. SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vds - Service SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: nm - Service SafeBootNet: nm.sys - Driver SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sdauxservice - Reg Error: Value error. SafeBootNet: sdcoreservice - Reg Error: Value error. SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {1a3e09be-1e45-494b-9174-d7385b45bbf5} - Reg Error: Value error. SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {0F1D198F-E5EA-4542-930E-2FB2B099F3F3} - LanaConfigTool_3383 ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906) ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447) ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CACE1E62-59B0-4F7F-87D4-DD335EBBC8F5} - T-Online Toolbar 2.0 ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: vidc.tscc - C:\WINDOWS\System32\tsccvid.dll (TechSmith Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point (16902109354000384) ========== Files/Folders - Created Within 30 Days ========== [2010.11.05 11:24:06 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.11.05 11:24:04 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.11.05 11:24:04 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.11.05 11:23:14 | 006,153,352 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\***\Desktop\mbam-setup.exe [2010.11.05 11:23:14 | 000,576,000 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2010.10.14 07:56:13 | 000,953,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc40u.dll [2010.10.14 07:56:09 | 000,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc42.dll [2010.10.14 07:55:18 | 000,617,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\comctl32.dll [2010.10.13 14:07:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun [2010.10.13 14:06:47 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.10.13 14:06:47 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.10.13 14:06:47 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.10.13 14:06:46 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.10.13 14:06:46 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.10.13 13:16:53 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2010.10.13 13:16:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy [2010.10.13 12:48:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes [2010.10.13 12:48:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [42 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ] [40 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.11.05 12:59:01 | 000,576,000 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2010.11.05 12:20:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.11.05 12:19:10 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2010.11.05 11:24:08 | 000,000,719 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.11.05 11:19:44 | 006,153,352 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\***\Desktop\mbam-setup.exe [2010.11.05 10:11:44 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.11.05 10:11:43 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.11.05 10:10:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.11.04 15:09:38 | 000,424,775 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2010.11.03 18:36:00 | 000,126,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.11.03 18:36:00 | 000,060,936 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2010.11.03 18:33:47 | 000,506,720 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.11.03 18:33:46 | 000,539,486 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.11.03 18:33:46 | 000,119,486 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.11.03 18:33:46 | 000,097,624 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.10.28 10:52:35 | 000,000,403 | ---- | M] () -- C:\WINDOWS\ODBC.INI [2010.10.27 12:22:44 | 000,002,455 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Lexware lohn+gehalt.lnk [2010.10.27 11:40:48 | 002,978,892 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Zeugnisse teilweise niedrig1.pdf [2010.10.26 18:31:37 | 012,632,977 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Zeugnisse komplett niedrig1.pdf [2010.10.16 15:11:32 | 000,002,477 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Word.lnk [2010.10.14 08:29:15 | 000,422,495 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20101104-150938.backup [2010.10.14 08:27:28 | 000,000,330 | ---- | M] () -- C:\WINDOWS\tasks\Spybot - Search & Destroy - Scheduled Task.job [2010.10.14 08:20:12 | 000,188,200 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.10.14 08:16:13 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.10.13 14:06:20 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.10.13 14:06:20 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.10.13 14:06:20 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.10.13 14:06:20 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.10.13 14:06:19 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.10.13 13:40:21 | 000,422,495 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20101014-092915.backup [2010.10.13 13:17:02 | 000,000,948 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Spybot - Search & Destroy.lnk [2010.10.07 14:39:30 | 000,003,381 | ---- | M] () -- C:\WINDOWS\tm.ini [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [42 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ] [40 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.11.05 11:24:08 | 000,000,719 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.27 11:40:42 | 002,978,892 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Zeugnisse teilweise niedrig1.pdf [2010.10.26 16:14:08 | 012,632,977 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Zeugnisse komplett niedrig1.pdf [2010.10.14 08:26:08 | 000,000,330 | ---- | C] () -- C:\WINDOWS\tasks\Spybot - Search & Destroy - Scheduled Task.job [2010.10.13 13:17:02 | 000,000,948 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Spybot - Search & Destroy.lnk [2010.08.24 09:33:26 | 000,000,028 | ---- | C] () -- C:\WINDOWS\KR_PROPS.INI [2010.05.28 17:13:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\zvkonline80VC8(2).dll [2010.05.28 17:13:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\PXTTool80VC8(2).dll [2010.05.28 17:13:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\LxXtreme70VC8(2).dll [2010.05.28 17:13:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\LxUISettings20Native(2).dll [2010.05.28 17:13:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\LXTPSW20VC8(2).dll [2010.05.28 17:13:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\LXTool80VC8(2).dll [2010.05.28 17:13:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\lxter20VC8(2).dll [2010.05.28 17:13:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\LxMail30VC8(2).dll [2010.05.28 17:13:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\LxImport80VC8(2).dll [2010.05.28 17:13:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\LXDasi80VC8(2).dll [2010.05.28 17:13:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\LXBtr80VC8(2).dll [2010.05.28 17:13:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\LxBasics80VC8(2).dll [2009.11.17 17:13:12 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll [2009.11.17 17:11:26 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll [2009.11.17 17:09:36 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll [2009.11.17 17:09:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll [2009.08.05 15:21:04 | 000,003,943 | ---- | C] () -- C:\Programme\Strehl, Sandra, Est. 2008.08 [2009.07.30 08:20:00 | 000,000,912 | ---- | C] () -- C:\WINDOWS\wiso.ini [2009.07.30 08:16:55 | 000,000,271 | ---- | C] () -- C:\WINDOWS\BUHL.INI [2009.01.25 18:34:15 | 000,000,021 | ---- | C] () -- C:\WINDOWS\DvInesKurusOleServer003.INI [2009.01.18 12:52:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\llclient.INI [2008.10.10 17:45:02 | 000,038,496 | ---- | C] () -- C:\WINDOWS\System32\JNILibrary.dll [2008.10.10 17:44:54 | 000,112,224 | ---- | C] () -- C:\WINDOWS\System32\INetCert.dll [2008.08.06 14:16:44 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\DtvEventHandler.dll [2008.03.21 18:06:43 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\B11gUSB.dll [2008.03.21 18:06:42 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\GTW32N50.dll [2007.05.28 13:54:47 | 000,084,418 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat [2007.01.20 15:54:27 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2007.01.20 15:54:26 | 000,024,064 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.01.20 15:32:40 | 000,018,004 | ---- | C] () -- C:\WINDOWS\hplj1010.ini [2007.01.20 15:20:57 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2007.01.19 18:36:06 | 000,014,616 | ---- | C] () -- C:\WINDOWS\System32\skypdfmonpro.dll [2007.01.19 18:36:06 | 000,012,568 | ---- | C] () -- C:\WINDOWS\System32\skypdfmonuipro.dll [2007.01.19 18:33:59 | 000,000,473 | ---- | C] () -- C:\WINDOWS\System32\KINDERMA-AE068B.jrf.init [2007.01.19 18:28:26 | 000,000,021 | ---- | C] () -- C:\WINDOWS\DvInesKurusOleServer002.INI [2007.01.19 18:27:57 | 000,000,115 | ---- | C] () -- C:\WINDOWS\dvinesinstart001.INI [2007.01.19 18:27:57 | 000,000,115 | ---- | C] () -- C:\WINDOWS\dvinesinstalllocation001.INI [2007.01.19 18:27:55 | 000,000,021 | ---- | C] () -- C:\WINDOWS\Startup.INI [2007.01.19 16:00:23 | 000,000,031 | ---- | C] () -- C:\WINDOWS\LxTrans.INI [2007.01.19 15:57:44 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\MMedia20VC7.dll [2007.01.19 15:44:29 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.01.17 18:30:56 | 000,000,143 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2007.01.17 18:24:34 | 000,023,040 | R--- | C] () -- C:\WINDOWS\System32\drivers\GVCplDrv.sys [2007.01.17 18:22:09 | 000,135,168 | R--- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2007.01.17 18:22:03 | 000,000,164 | R--- | C] () -- C:\WINDOWS\avrack.ini [2007.01.17 18:17:48 | 000,000,258 | ---- | C] () -- C:\WINDOWS\System32\raidmgmt.ini [2007.01.17 17:35:53 | 000,004,335 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2006.09.21 13:53:28 | 000,282,679 | ---- | C] () -- C:\WINDOWS\System32\dnt27.dll [2006.09.21 13:52:24 | 000,077,882 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27.dll [2006.09.21 13:52:14 | 000,077,881 | ---- | C] () -- C:\WINDOWS\System32\dntvm27.dll [2005.11.09 12:13:48 | 000,282,624 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC7.dll [2005.11.09 12:11:46 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC7.dll [2005.11.09 12:11:30 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC7.dll [2005.02.21 14:13:44 | 000,003,381 | ---- | C] () -- C:\WINDOWS\tm.ini [2001.10.10 08:57:58 | 000,073,786 | ---- | C] () -- C:\WINDOWS\System32\dntvmc23.dll [2001.10.10 08:57:58 | 000,061,497 | ---- | C] () -- C:\WINDOWS\System32\dntvm23.dll [2001.07.31 11:17:12 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL [2001.03.07 08:02:30 | 000,229,431 | ---- | C] () -- C:\WINDOWS\System32\dnt23.dll [1999.05.19 15:47:46 | 000,072,192 | ---- | C] () -- C:\WINDOWS\System32\DBKONF.dll [1999.01.22 19:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL [1999.01.19 15:18:30 | 000,110,080 | ---- | C] () -- C:\WINDOWS\System32\LFPNG60N.DLL [1999.01.19 15:18:30 | 000,046,080 | ---- | C] () -- C:\WINDOWS\System32\LFTIF60N.DLL [1999.01.19 15:18:30 | 000,043,008 | ---- | C] () -- C:\WINDOWS\System32\LTFIL60N.DLL [1999.01.19 15:18:30 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\LFPSD60N.DLL [1999.01.19 15:18:30 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\LFTGA60N.DLL [1999.01.19 15:18:30 | 000,019,456 | ---- | C] () -- C:\WINDOWS\System32\LFWPG60N.DLL [1999.01.19 15:18:30 | 000,019,456 | ---- | C] () -- C:\WINDOWS\System32\LFWMF60N.DLL [1999.01.19 15:18:28 | 000,176,128 | ---- | C] () -- C:\WINDOWS\System32\LFFAX60N.DLL [1999.01.19 15:18:28 | 000,141,824 | ---- | C] () -- C:\WINDOWS\System32\LFCMP60N.DLL [1999.01.19 15:18:28 | 000,023,552 | ---- | C] () -- C:\WINDOWS\System32\LFPCX60N.DLL [1999.01.19 15:18:28 | 000,022,528 | ---- | C] () -- C:\WINDOWS\System32\LFPCT60N.DLL [1999.01.19 15:18:28 | 000,022,528 | ---- | C] () -- C:\WINDOWS\System32\LFEPS60N.DLL [1999.01.19 15:18:28 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\LFBMP60N.DLL [1999.01.19 15:18:28 | 000,018,432 | ---- | C] () -- C:\WINDOWS\System32\LFMSP60N.DLL [1999.01.19 15:18:28 | 000,017,920 | ---- | C] () -- C:\WINDOWS\System32\LFMAC60N.DLL [1997.06.30 09:24:00 | 000,000,141 | ---- | C] () -- C:\WINDOWS\OPTESTER.INI [1996.09.24 17:40:44 | 000,110,080 | ---- | C] () -- C:\WINDOWS\System32\W32MKRC.DLL [1995.02.15 00:11:00 | 000,017,920 | ---- | C] () -- C:\WINDOWS\System32\IMPLODE.DLL ========== LOP Check ========== [2007.01.19 16:01:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve [2009.07.30 10:46:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH [2008.02.17 18:41:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular [2010.10.27 12:23:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware [2007.01.19 18:36:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SkyCom [2008.02.17 17:18:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online [2010.10.13 17:31:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2009.07.30 10:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Buhl Data Service [2009.01.27 15:24:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DATEV [2008.02.14 20:34:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ! [2007.01.19 16:01:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Lexware [2008.02.14 19:42:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\T-Online ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2007.01.30 20:15:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe [2007.01.21 18:24:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM [2007.01.17 18:31:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ATI [2009.07.29 19:28:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avira [2009.07.30 10:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Buhl Data Service [2009.01.27 15:24:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DATEV [2008.02.14 20:34:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ! [2007.01.20 15:50:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Google [2007.01.21 16:31:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Help [2007.01.17 18:13:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Identities [2007.01.24 15:33:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield [2007.01.19 16:01:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Lexware [2007.03.30 16:07:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia [2010.10.13 12:48:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes [2010.09.12 15:36:33 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft [2007.01.19 15:41:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft Web Folders [2008.12.07 10:27:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla [2008.03.02 10:38:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Tools [2009.09.24 18:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Real [2007.01.17 12:02:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun [2007.07.12 19:50:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Symantec [2008.02.14 19:42:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\T-Online < %APPDATA%\*.exe /s > [2007.01.21 18:23:41 | 023,813,608 | ---- | M] ( ) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdr709_de_DE.exe [2010.07.27 08:40:09 | 002,568,656 | ---- | M] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe < %SYSTEMDRIVE%\*.exe > [2008.02.17 18:27:14 | 022,681,560 | ---- | M] (Macrovision Corporation) -- C:\ElsterFormular2007-Setup.exe < MD5 for: AGP440.SYS > [2006.02.28 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008.04.14 00:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\agp440.sys [2008.04.14 00:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: ATAPI.SYS > [2006.02.28 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\atapi.sys [2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2006.02.28 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\eventlog.dll [2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll [2006.02.28 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: EXPLORER.EXE > [2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe [2007.06.13 14:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe [2007.06.13 14:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe < MD5 for: NETLOGON.DLL > [2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\netlogon.dll [2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll [2006.02.28 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\scecli.dll [2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll [2006.02.28 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < MD5 for: USER32.DLL > [2005.03.02 19:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\$NtUninstallKB925902$\user32.dll [2007.03.08 16:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll [2005.03.02 19:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll [2006.02.28 13:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtUninstallKB890859$\user32.dll [2007.03.08 16:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll [2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll [2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\user32.dll [2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\userinit.exe [2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe [2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2006.02.28 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2006.02.28 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2007.01.17 18:33:56 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2007.01.17 18:33:56 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2007.01.17 18:33:56 | 000,434,176 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [40 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] ========== Alternate Data Streams ========== @Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 @Alternate Data Stream - 114 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FA5F15C4 < End of report > |
05.11.2010, 13:19 | #6 |
/// Malware-holic | Gozi Trojaner - mbam & OTL log zur Prüfung bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ --> Gozi Trojaner - mbam & OTL log zur Prüfung |
05.11.2010, 13:32 | #7 |
| Gozi Trojaner - mbam & OTL log zur Prüfung An dieser Stelle schonmal vielen Dank für deine super schnelle Hilfe! Hier die ComboFix log: Code:
ATTFilter ComboFix 10-11-04.06 - *** 05.11.2010 13:25:15.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1404 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\Internet Explorer\SET80.tmp c:\programme\Internet Explorer\SET81.tmp c:\programme\Internet Explorer\SET83.tmp c:\windows\system32\LxBasics80VC8(2).dll c:\windows\system32\LXBtr80VC8(2).dll c:\windows\system32\LXDasi80VC8(2).dll c:\windows\system32\LxImport80VC8(2).dll c:\windows\system32\LxMail30VC8(2).dll c:\windows\system32\lxter20VC8(2).dll c:\windows\system32\LXTool80VC8(2).dll c:\windows\system32\LXTPSW20VC8(2).dll c:\windows\system32\LxUISettings20Native(2).dll c:\windows\system32\LxXtreme70VC8(2).dll c:\windows\system32\PXTTool80VC8(2).dll c:\windows\system32\zvkonline80VC8(2).dll E:\AUTORUN.INF . ((((((((((((((((((((((( Dateien erstellt von 2010-10-05 bis 2010-11-05 )))))))))))))))))))))))))))))) . 2010-11-05 10:24 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-05 10:24 . 2010-11-05 10:24 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-11-05 10:24 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-10-14 06:56 . 2010-09-18 06:52 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll 2010-10-14 06:56 . 2010-09-18 06:52 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll 2010-10-14 06:55 . 2010-08-23 16:11 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll 2010-10-13 13:06 . 2010-10-13 13:06 423656 ----a-w- c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll 2010-10-13 13:06 . 2010-10-13 13:06 73728 ----a-w- c:\windows\system32\javacpl.cpl 2010-10-13 13:06 . 2010-10-13 13:06 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-10-13 12:16 . 2010-11-05 10:17 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-10-13 12:16 . 2010-10-13 12:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-10-13 11:48 . 2010-10-13 11:48 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2010-10-13 11:48 . 2010-10-13 11:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-03 17:36 . 2009-07-29 18:05 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-03 17:36 . 2009-07-29 18:05 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-09-18 10:22 . 2006-02-28 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll 2010-09-18 06:52 . 2006-02-28 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll 2010-09-18 06:52 . 2006-02-28 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll 2010-09-18 06:52 . 2006-02-28 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll 2010-09-09 14:17 . 2006-02-28 12:00 672768 ----a-w- c:\windows\system32\wininet.dll 2010-09-09 14:17 . 2006-02-28 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx 2010-09-09 14:17 . 2006-02-28 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll 2010-09-09 14:13 . 2006-02-28 12:00 371200 ----a-w- c:\windows\system32\html.iec 2010-09-01 11:50 . 2006-02-28 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll 2010-09-01 07:54 . 2006-02-28 12:00 1852928 ----a-w- c:\windows\system32\win32k.sys 2010-08-31 08:44 . 2010-08-31 08:44 548864 ----a-w- c:\windows\system32\zvkonline60VC8.dll 2010-08-31 08:19 . 2010-08-31 08:19 552960 ----a-w- c:\windows\system32\zvkonline65VC8.dll 2010-08-29 16:54 . 2010-08-29 16:54 1130496 ----a-w- c:\windows\system32\LxTool60VC8.dll 2010-08-29 16:51 . 2010-08-29 16:51 1138688 ----a-w- c:\windows\system32\LXtool60NSVC8.dll 2010-08-29 15:16 . 2010-08-29 15:16 1196032 ----a-w- c:\windows\system32\LxTool65VC8.dll 2010-08-29 15:14 . 2010-08-29 15:14 1204224 ----a-w- c:\windows\system32\LxTool65NSVC8.dll 2010-08-29 14:42 . 2010-08-29 14:42 552960 ----a-w- c:\windows\system32\zvkonline70VC8.dll 2010-08-29 14:41 . 2010-08-29 14:41 1245184 ----a-w- c:\windows\system32\LXTool70VC8.dll 2010-08-29 14:39 . 2010-08-29 14:39 1257472 ----a-w- c:\windows\system32\LXTool70NSVC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 716800 ----a-w- c:\windows\system32\lxter20VC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 69632 ----a-w- c:\windows\system32\PXTTool80VC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 557056 ----a-w- c:\windows\system32\zvkonline80VC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 4661248 ----a-w- c:\windows\system32\LxXtreme70VC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 323584 ----a-w- c:\windows\system32\LxImport80VC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 27648 ----a-w- c:\windows\system32\LXTPSW20VC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 196608 ----a-w- c:\windows\system32\LXDasi80VC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 135168 ----a-w- c:\windows\system32\LxMail30VC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 1347584 ----a-w- c:\windows\system32\LXTool80VC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 110592 ----a-w- c:\windows\system32\LxUISettings20Native.dll 2010-08-27 13:42 . 2010-08-27 13:42 299008 ----a-w- c:\windows\system32\LXBtr80VC8.dll 2010-08-27 13:42 . 2010-08-27 13:42 225280 ----a-w- c:\windows\system32\LxBasics80VC8.dll 2010-08-27 08:01 . 2006-02-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2010-08-27 05:57 . 2006-02-28 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll 2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2010-08-26 13:39 . 2006-02-28 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys 2010-08-23 16:11 . 2006-02-28 12:00 617472 ----a-w- c:\windows\system32\comctl32.dll 2010-08-17 13:17 . 2006-02-28 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-08-16 08:44 . 2006-02-28 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-05 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2006-03-01 577536] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-03 344064] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-05-03 32768] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768] "StatusClient"="c:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864] "TomcatStartup"="c:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648] "LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2008-11-03 339240] "DVCCSAWTSSetEntryNTE"="c:\datev\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe" [2008-09-13 540672] "DATEV_SCardMan"="c:\datev\PROGRAMM\B0000347\ScMgmt\ScardManager.exe" [2008-10-10 300640] "StartSpeedy"="c:\datev\PROGRAMM\B0001356\mIDentity.exe" [2008-08-14 2629632] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-15 417792] "AUTOSTARTEXECUTE"="c:\datev\PROGRAMM\INSTALL\DvInesAutoStartHelper.Exe" [2009-08-05 198240] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-02-12 198160] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DVCCSA] 2008-09-13 13:12 114688 ------w- c:\windows\system32\DVCCSAnotify002.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify] 2001-11-02 08:50 24636 ----a-w- c:\windows\system32\PCANotify.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] @="" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"= "c:\\Programme\\Symantec\\pcAnywhere\\winaw32.exe"= "c:\\Programme\\Symantec\\pcAnywhere\\awhost32.exe"= "c:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\DATEV\\PROGRAMM\\B0000000\\DFUEMNGR\\DcManag.exe"= "c:\\DATEV\\PROGRAMM\\B0000000\\DFUEMNGR\\dfueman.exe"= c:\\DATEV\\PROGRAMM\\B0000000\\DFUEMNGR\\DfueMan.exe "c:\\DATEV\\PROGRAMM\\RZKOMM\\ccsrv2.exe"= "c:\\DATEV\\PROGRAMM\\RZKOMM\\callauferst.exe"= "c:\\DATEV\\PROGRAMM\\RZKOMM\\DfueSammlerDienst.exe"= "c:\\DATEV\\PROGRAMM\\RZKOMM\\funktest.exe"= "c:\\DATEV\\PROGRAMM\\RZKOMM\\funkt_fv.exe"= "c:\\DATEV\\PROGRAMM\\RZKOMM\\empftest.exe"= "c:\\DATEV\\PROGRAMM\\SWS\\Limaservice.exe"= c:\\DATEV\\PROGRAMM\\SWS\\LimaService.exe "c:\datev\PROGRAMM\DFUEISDN\SECCLT\secclt.exe"= c:\datev\PROGRAMM\DFUEISDN\SecClt\SecClt.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:SecClt.exe "c:\datev\PROGRAMM\DFUEISDN\SSLCLT\sslclt.exe"= c:\datev\PROGRAMM\DFUEISDN\SSLClt\SSLClt.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:SSLClt.exe "c:\datev\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe"= c:\datev\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:mntbna.exe "c:\\DATEV\\PROGRAMM\\B0000195\\ADDMAN\\DATEVAddMan.exe"= "c:\\DATEV\\PROGRAMM\\R0000135\\EOR.EXE"= c:\\DATEV\\PROGRAMM\\R0000135\\EOR "c:\\DATEV\\PROGRAMM\\Install\\ExecDll\\ExecDllExe.exe"= "c:\\DATEV\\PROGRAMM\\Install\\Uninstal.exe"= "c:\\DATEV\\PROGRAMM\\SWS\\LimaServer.exe"= R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [29.07.2009 19:05 339624] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.07.2009 19:05 135336] R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [29.07.2009 19:05 403624] R2 DatevPrintService;DATEV Druckservice;c:\datev\PROGRAMM\B0001442\PSNTServ.exe [24.11.2008 02:00 77312] R2 Dcmanag;DATEV DFÜ-System Dienst;c:\datev\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe [22.09.2008 08:47 176128] R2 DVSmartCardLogon;DV-SmartCard-Logon;c:\datev\PROGRAMM\B0001364\DTVSCSer.exe [06.08.2008 14:18 172032] R2 KOBIL Container Encryption Control1;KOBIL Container Encryption Control1;c:\datev\PROGRAMM\B0001356\SpdyScProcessSrv.exe [14.08.2008 11:20 57344] R2 KOBIL_MSDI;KOBIL_MSDI;c:\programme\Kobil Systems\Kobil mIDentity\msdisrv.exe [09.05.2008 17:12 118784] R2 MSSQL$DATEV_CL_DE01;SQL Server (DATEV_CL_DE01);c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [13.08.2009 20:16 29284184] R2 SC_Serv3D;SC_Serv3D;c:\windows\system32\drivers\d3_kafm.sys [08.08.2008 17:01 19712] R2 SCardService;DATEV SmartCard Service;c:\datev\PROGRAMM\B0000347\ScMgmt\SCardService.exe [10.10.2008 17:43 239200] S2 DVckService;DVckService;c:\datev\PROGRAMM\B0000150\ScServer\DVckService.exe [13.09.2008 14:05 1425408] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [10.01.2010 18:59 135664] S3 DATEV Update-Service;DATEV Update-Service;c:\datev\PROGRAMM\Install\DvInesASDSvc.Exe [26.08.2009 02:43 146016] S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?] S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] tapisrv REG_MULTI_SZ Tapisrv . Inhalt des "geplante Tasks" Ordners 2010-11-05 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-20 15:09] 2010-11-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-01-10 17:57] 2010-11-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-01-10 17:57] 2010-10-14 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job - c:\programme\Spybot - Search & Destroy\SpybotSD.exe [2010-10-13 13:31] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.t-online.de/ uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uInternet Settings,ProxyServer = 198.110.1.3:1 uInternet Settings,ProxyOverride = <local> uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8yoaqiov.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/ FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\8yoaqiov.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll FF - component: c:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll FF - plugin: c:\programme\Google\Picasa3\npPicasa2.dll FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPiL77.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - AddRemove-GERVA_Cryptoseal - c:\datev\PROGRAMM\B0000084\cryptosealsetup.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-11-05 13:28 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(716) c:\windows\system32\awgina.dll c:\windows\SYSTEM32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(772) c:\programme\Avira\AntiVir Desktop\avsda.dll . Zeit der Fertigstellung: 2010-11-05 13:30:21 ComboFix-quarantined-files.txt 2010-11-05 12:30 Vor Suchlauf: 29 Verzeichnis(se), 62.736.650.240 Bytes frei Nach Suchlauf: 33 Verzeichnis(se), 63.169.634.304 Bytes frei - - End Of File - - 265348F34931E9B48E53AD39EE70D5A4 |
05.11.2010, 13:38 | #8 |
/// Malware-holic | Gozi Trojaner - mbam & OTL log zur Prüfung nutzt du einen amerikanischen proxy?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
05.11.2010, 13:48 | #9 |
| Gozi Trojaner - mbam & OTL log zur Prüfung wieder die antwort von vorhin: "soweit ich weiß" - nein. Keine Ahnung wozu ich den bräuchte. In meinen Einstellungen (TCP/IP-Protokoll & "Internetoptionen") ist auch keiner eingetragen. |
05.11.2010, 13:53 | #10 |
/// Malware-holic | Gozi Trojaner - mbam & OTL log zur Prüfung ich sehe hier aber einen. uInternet Settings,ProxyServer = 198.110.1.3:1 kannst du mal den arbeitsplatz öffnen, dann c: dann rechtsklick auf qoobox, zu qoobox.rar oder zip hinzufügen, archiv hochladen. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
05.11.2010, 14:04 | #11 |
| Gozi Trojaner - mbam & OTL log zur Prüfung Hab ich hochgeladen. Beim Packen gabs ne Fehlermeldung "Verzeichnisinhalt von BackEnv konnte nicht gelesen werden" Den Proxy habe ich jetzt auch gefunden, ist aber nicht aktiviert. Soll ich den mal komplett rauslöschen? |
05.11.2010, 14:16 | #12 |
/// Malware-holic | Gozi Trojaner - mbam & OTL log zur Prüfung hatte avira fundmeldungen in letzter zeit? hattest du auf der bank seite ne 20 oder mehr tan abfrage? ich persönlich würde bei einem solchen verdacht immer neu aufsetzen, da das das sicherste ist.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
05.11.2010, 14:19 | #13 |
| Gozi Trojaner - mbam & OTL log zur Prüfung Funde bei AV waren keine (nur ab und zu, dass er ein autorun.inf blockiert hat. TAN abfragen waren auch keine. Sind meine logs denn sauber - oder gibt es es einen Grund zur weiteren Besorgnis? Neu aufsetzten wollte ich gerne vermeiden ... auch wenn ich weiß, dass es wohl das Sicherste wäre. Also, hast du noch eine Idee? Oder weißt du auch nicht mehr weiter? Vielen Dank für deine Hilfe! |
05.11.2010, 14:22 | #14 |
/// Malware-holic | Gozi Trojaner - mbam & OTL log zur Prüfung das problem ist, wenn die banken sich melden, hat das schon seinen grund, ich hab noch nie erlebt das sie sich irrtümlich gemeldet haben, also auch wenn wir nichts finden, bleibt natürlich eine unsicherheit zurück. natürlich auch wenn wir was finden, dann ist das system nicht mehr vertrauenswürdig und du müsstest immer damit rechnen das jemand dein konto leer räumen kann. wenn dir das egal ist, können wir natürlich weiter prüfen, aber ich weise dich drauf hin. deswegen war ja auch meine frage, ob du von nem andern pc banking betrieben hast. gmer: http://www.trojaner-board.de/74908-a...t-scanner.html log posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu Gozi Trojaner - mbam & OTL log zur Prüfung |
andere, anderen, bitte um hilfe, einstellung, ellung, formiert, forum, frisch, gozi trojaner, hänge, infiziert, log, malwarebytes, mbam, otl log, prüfung, scan, thema, threads, troja, trojaner, vollständige |