Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Plagegeister aller Art und deren Bekämpfung: Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.11.2010, 22:37   #1
Paro
 
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Standard

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Hallo ihr Lieben.

Habe mich eben, nach langer Lektüre in eurem Board dazu entschieden vorsichtshalber doch einmal nachzufragen. Denn: 1. Ich habe generell wenig Plan von solchen Dingen und 2. Was ich bisher hier lesen konnte macht mir wenig Mut die Sache glimpflich überstanden zu haben.

Also: Ich arbeite mit einem alten Win XP. Vor wenigen Stunden sprang bei mir das berühmtberüchtigte Thinkpoint Fenster auf. Ich habe erstmal bereitwillig auf Prüfen geklickt - wegen des vertraueneinflößenden Windows Logos - hatte dann aber gleich ein mulmiges Gefühl, weswegen ich vorsichthalber den Router ausgeschaltet habe.

Das System startete neu - und wie bei anderen auch: Ich konnte das Programm nicht beenden. Geklickt habe ich deswegen auf so etwas wie "trotz Infektion weitermachen" (weiß nicht mehr wie es genau hieß). Als ich den Desktop wieder sah habe ich alle Dateien gesucht die in den letzten 20 Minuten erstellt wurden und fand "installation", "start" und "hotfix.exe" in meinen eigenen Dateien. Das hätte ein originales Windows Programm sicherlich nicht gemacht, dachte ich mir, löschte die ersten beiden und benannte letztere um, da ich sie nicht löschen konnte.

Nach einem weiteren Neustart funktioniert mein System jetzt wieder scheinbar einwandfrei. Trotzdem habe ich ein schlechtes Gefühl dabei. Habe mit AVG und Spybot nichts bedrohliches entdecken können, mir aber eben Hijack This runtergeladen und fände es sehr sehr lieb von euch, wenn ihr mal drüberschauen könntet.

Vielleicht kann mich einer von euch beruhigen, oder mir aber sagen was ich tun könnte um ganz sicher zu sein.


Hier der Log von HT:

Zitat:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:15:31, on 06.11.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17091)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\AVG\AVG9\avgnsx.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\Restore\rstrui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\dmremote.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Dokumente und Einstellungen\ich\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.wikipedia.org/wiki/Wikipedia:Hauptseite
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7167 bytes
---

Ein weiteres Problem: Ich habe eben vorsichtshalber versucht eine Systemwiederherstellung zu machen, habe auch einen Wiederherstellungspunkt vom 31.10.2010 - allerdings funktioniert die Wiederherstellung nicht. Der letzte "Weiter"-Button bleibt komplett wirkungslos.


Vielen Dank für eure Hilfe!

Alt 06.11.2010, 22:51   #2
Paro
 
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Standard

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Entschuldigt den Doppelpost. Aber ich las eben in einem andern Thread dass diese OLT Dateien vielleicht nötig sind. Daher hab ich die gleich gemacht:

Zitat:
hxxp://www.file-upload.net/download-2951103/OTL.Txt.html
hxxp://www.file-upload.net/download-2951110/Extras.Txt.html
__________________
Alt 06.11.2010, 22:54   #3
Argus
 
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Standard

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Hallo,Paro

Schau dir mal die Anleitung an http://www.trojaner-board.de/92132-thinkpoint-entfernen.html
__________________
Alt 06.11.2010, 23:13   #4
Paro
 
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Standard

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Huhu.

Danke für die schnelle Antwort.
Ja, diesen Beitrag hab ich schon gelesen.
Die Registry-Einträge habe ich auch schon wie beschrieben gedingsbumst.

Aber ... ist jetzt wieder alles in Ordnung?
Ich hab schon noch n bisschen Angst. Tschuldigung...

Alt 07.11.2010, 12:16   #5
Swisstreasure
/// Malwareteam
 
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Standard

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Hallo Paro

Ich werde für Argus übernehmen da er einige Zeit abwesend ist.

Schritt 1

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:
  • Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
  • Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
  • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Gmer startet automatisch einen ersten Scan.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    Code:
    ATTFilter
    WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?
  • Unbedingt auf "No" klicken,
    in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

    .
  • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
  • Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
  • Wichtig: "Show all" darf nicht angehakt sein!
  • Starte den Scan durch Drücken des Buttons "Scan".
    Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
  • Wenn der Scan fertig ist, bleibt die Zeile leer.
    Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
    Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.


Alt 07.11.2010, 19:49   #6
Paro
 
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Standard

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Huhu Swiss.

Freut mich dass du dich meines Falles angenommen hast.
Habe erstmal die Schritte 1 und 2 unternommen. Der 3. folgt gleich...

Der OTL Bericht:

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 07.11.2010 19:23:04 - Run 2
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\ich\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 81,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 91,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 41,11 Gb Total Space | 8,15 Gb Free Space | 19,83% Space Free | Partition Type: NTFS
Drive D: | 107,94 Gb Total Space | 36,18 Gb Free Space | 33,52% Space Free | Partition Type: NTFS
Drive F: | 292,97 Gb Total Space | 269,16 Gb Free Space | 91,87% Space Free | Partition Type: NTFS
Drive G: | 172,79 Gb Total Space | 171,69 Gb Free Space | 99,36% Space Free | Partition Type: NTFS
 
Computer Name: STATION | User Name: ich | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\ich\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgnsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgchsvx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgcsrvx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgrsx.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\AVG\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (NVIDIA Corporation)
PRC - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (NVIDIA Corporation)
PRC - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe (Apache Software Foundation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\ich\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (avg9wd) -- C:\Programme\AVG\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe ()
SRV - (TuneUp.Defrag) -- C:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software GmbH)
SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH)
SRV - (nSvcIp) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (NVIDIA Corporation)
SRV - (nSvcLog) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (NVIDIA Corporation)
SRV - (ForcewareWebInterface) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe (Apache Software Foundation)
SRV - (CCALib8) -- C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (USBAAPL) -- C:\WINDOWS\System32\Drivers\usbaapl.sys File not found
DRV - (EagleNT) -- C:\WINDOWS\System32\drivers\EagleNT.sys File not found
DRV - (PnkBstrK) -- C:\WINDOWS\system32\drivers\PnkBstrK.sys ()
DRV - (AvgTdiX) -- C:\WINDOWS\system32\drivers\avgtdix.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgLdx86) -- C:\WINDOWS\system32\drivers\avgldx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (AvgMfx86) -- C:\WINDOWS\system32\drivers\avgmfx86.sys (AVG Technologies CZ, s.r.o.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (AsIO) -- C:\WINDOWS\system32\drivers\AsIO.sys ()
DRV - (nvata) -- C:\WINDOWS\System32\DRIVERS\nvata.sys (NVIDIA Corporation)
DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfsync02.sys (Protection Technology)
DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology)
DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology)
DRV - (d347prt) -- C:\WINDOWS\System32\Drivers\d347prt.sys ( )
DRV - (d347bus) -- C:\WINDOWS\system32\DRIVERS\d347bus.sys ( )
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.wikipedia.org/wiki/Wikipedia:Hauptseite
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://de.wikipedia.org/wiki/Wikipedia:Hauptseite"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.1
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {3f963a5b-e555-4543-90e2-c3908898db71}:9.0.0.863
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\{3f963a5b-e555-4543-90e2-c3908898db71}: C:\Programme\AVG\AVG9\Firefox [2010.10.28 18:15:04 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.11.02 19:02:46 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.11.06 23:26:41 | 000,000,000 | ---D | M]
 
[2008.09.27 17:46:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Mozilla\Extensions
[2010.11.06 23:57:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Mozilla\Firefox\Profiles\nlo0rllg.default\extensions
[2010.11.05 20:10:21 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Mozilla\Firefox\Profiles\nlo0rllg.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.07.13 14:36:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Mozilla\Firefox\Profiles\nlo0rllg.default\extensions\foxyproxy@eric.h.jung
[2010.11.06 23:23:02 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.07.01 16:20:59 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.04.12 16:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.04.01 17:54:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 17:54:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.01 17:54:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.01 17:54:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.04.01 17:54:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.01 15:55:23 | 000,411,679 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1 im.adtech.de
O1 - Hosts: 127.0.0.1 adserver.adtech.de
O1 - Hosts: 127.0.0.1 adtech.de
O1 - Hosts: 127.0.0.1 ar.atwola.com
O1 - Hosts: 127.0.0.1 atwola.com
O1 - Hosts: 127.0.0.1 adserver.71i.de
O1 - Hosts: 127.0.0.1 adicqserver.71i.de
O1 - Hosts: 127.0.0.1 71i.de
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 14225 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AVG9_TRAY] C:\Programme\AVG\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll (AVG Technologies CZ, s.r.o.)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UIHost - (logonui.exe) - C:\WINDOWS\System32\logonui.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.09.27 14:11:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: UxTuneUp - C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH)
NetSvcs: WmdmPmSp -  File not found
 
Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.VP60 - C:\WINDOWS\system32\vp6vfw.dll (On2.com)
Drivers32: vidc.VP61 - C:\WINDOWS\system32\vp6vfw.dll (On2.com)
Drivers32: vidc.XVID - C:\WINDOWS\System32\xvidvfw.dll ()
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Error starting restore point: 3
Error closing restore point: The sequence number is invalid.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.11.06 23:56:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ich\Desktop\Scanlogs
[2010.11.06 23:25:26 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.11.06 23:09:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Malwarebytes
[2010.11.06 23:09:30 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.11.06 23:09:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.11.06 23:09:29 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.11.06 23:09:29 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.11.06 20:36:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\KB905474
[2010.11.06 20:09:00 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\ich\Recent
[2009.02.21 23:39:20 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys
[2009.02.21 23:39:20 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.11.07 18:49:39 | 000,316,594 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.11.07 18:49:39 | 000,311,604 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.11.07 18:49:39 | 000,048,156 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.11.07 18:49:39 | 000,039,992 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.11.07 18:46:23 | 000,000,254 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.11.07 18:45:26 | 000,239,007 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.11.07 18:45:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.11.07 18:03:30 | 067,342,068 | ---- | M] () -- C:\WINDOWS\System32\drivers\Avg\incavi.avm
[2010.11.07 17:18:04 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.11.07 00:03:16 | 000,000,827 | ---- | M] () -- C:\Dokumente und Einstellungen\ich\Desktop\HiJackThis204.lnk
[2010.11.06 23:55:20 | 000,185,192 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.11.06 23:09:33 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MM.lnk
[2010.11.06 19:22:17 | 000,000,339 | ---- | M] () -- C:\Dokumente und Einstellungen\ich\Desktop\Texte.lnk
[2010.11.06 19:21:18 | 000,000,352 | ---- | M] () -- C:\Dokumente und Einstellungen\ich\Desktop\Internet.lnk
[2010.11.06 19:15:34 | 000,138,056 | ---- | M] () -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\PnkBstrK.sys
[2010.11.06 19:04:47 | 000,195,072 | ---- | M] () -- C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.06 18:07:09 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.11.01 07:38:58 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.10.09 20:13:24 | 000,000,091 | ---- | M] () -- C:\WINDOWS\CIV.INI
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.11.07 00:03:16 | 000,000,827 | ---- | C] () -- C:\Dokumente und Einstellungen\ich\Desktop\HiJackThis204.lnk
[2010.11.06 23:09:33 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MM.lnk
[2010.11.06 20:36:14 | 000,000,254 | ---- | C] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.11.06 20:30:37 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2010.11.06 19:22:17 | 000,000,339 | ---- | C] () -- C:\Dokumente und Einstellungen\ich\Desktop\Texte.lnk
[2010.11.06 19:19:59 | 000,000,352 | ---- | C] () -- C:\Dokumente und Einstellungen\ich\Desktop\Internet.lnk
[2010.10.09 13:26:45 | 000,000,091 | ---- | C] () -- C:\WINDOWS\CIV.INI
[2010.07.16 17:51:33 | 000,138,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2010.07.16 17:51:33 | 000,138,056 | ---- | C] () -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\PnkBstrK.sys
[2010.07.01 16:06:30 | 000,017,408 | ---- | C] () -- C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Anwendungsdaten\WebpageIcons.db
[2010.07.01 15:03:01 | 000,000,105 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2010.01.28 19:45:47 | 000,000,089 | ---- | C] () -- C:\WINDOWS\ULead32.ini
[2009.12.23 14:54:17 | 000,000,029 | ---- | C] () -- C:\WINDOWS\Battle.ini
[2009.06.16 23:22:44 | 000,060,260 | ---- | C] () -- C:\Programme\messages.log
[2009.06.16 21:00:09 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.06.16 21:00:09 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.02.25 16:27:25 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2008.12.20 01:02:26 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2008.12.20 01:02:25 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2008.10.07 15:59:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008.10.02 19:12:53 | 000,195,072 | ---- | C] () -- C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.09.27 15:11:25 | 000,024,576 | R--- | C] () -- C:\WINDOWS\System32\AsIO.dll
[2008.09.27 15:11:25 | 000,012,664 | R--- | C] () -- C:\WINDOWS\System32\drivers\AsIO.sys
[2008.09.27 15:11:23 | 000,012,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp64.sys
[2008.09.27 15:11:23 | 000,010,304 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp32.sys
[2008.09.27 15:03:35 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.09.27 14:20:18 | 000,015,374 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini
[2008.09.27 14:20:10 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2008.09.27 14:20:08 | 000,015,133 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.09.27 14:19:57 | 000,012,536 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.07.08 21:00:01 | 003,625,964 | ---- | C] () -- C:\Programme\Word in pdf.exe
[2008.05.17 01:31:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008.05.17 01:31:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008.05.17 01:31:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008.05.17 01:31:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008.05.17 01:31:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.10.18 21:20:21 | 000,632,097 | -H-- | C] () -- C:\Programme\imgstack.zip
[2007.10.18 21:20:16 | 005,115,780 | -H-- | C] () -- C:\Programme\RawShooterEssentials.exe
[2007.10.18 21:20:12 | 001,412,220 | -H-- | C] () -- C:\Programme\picturenaut.zip
[2004.08.22 17:04:56 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll
[2002.03.21 15:39:02 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\UNACEV2.DLL
[2002.03.20 22:01:06 | 000,006,688 | R--- | C] () -- C:\WINDOWS\System32\Digita.sys
[2002.03.20 22:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportUSB.dll
[2002.03.20 22:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportSerial.dll
[2002.03.20 22:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrDA.dll
[2002.03.20 22:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrCOMM.dll
 
========== LOP Check ==========
 
[2009.01.01 02:31:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2010.07.01 16:01:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg9
[2008.09.28 03:44:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010.06.02 21:07:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
[2008.11.25 18:33:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[2009.01.01 02:32:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ACD Systems
[2009.01.01 02:18:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Canon
[2010.11.06 23:53:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\DNA
[2010.11.06 18:57:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\fdrtools.com
[2008.11.28 00:01:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\gtk-2.0
[2010.11.07 15:14:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ICQ
[2008.10.22 18:49:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\My Games
[2010.07.15 01:50:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Pixmantec
[2008.09.28 03:44:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\TuneUp Software
[2010.06.02 23:22:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Ubisoft
[2010.11.07 18:46:23 | 000,000,254 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2008.09.27 14:11:40 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2008.09.27 14:39:10 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2001.08.31 20:21:24 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2008.09.27 14:11:40 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2008.09.27 14:11:40 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2008.09.27 14:11:40 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2008.09.27 14:37:54 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.09.27 18:29:49 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.11.07 18:45:18 | 2145,386,496 | -HS- | M] () -- C:\pagefile.sys
[2008.09.27 14:28:15 | 000,000,140 | ---- | M] () -- C:\RHDSetup.log
[2010.11.06 20:32:43 | 000,000,410 | ---- | M] () -- C:\rkill.log
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2008.09.27 14:11:25 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2003.06.18 16:31:48 | 000,018,944 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
[2006.12.09 20:21:58 | 000,632,097 | -H-- | M] () -- C:\Programme\imgstack.zip
[2009.06.21 06:16:12 | 000,060,260 | ---- | M] () -- C:\Programme\messages.log
[2006.12.09 22:52:58 | 001,412,220 | -H-- | M] () -- C:\Programme\picturenaut.zip
[2006.12.10 23:31:34 | 005,115,780 | -H-- | M] () -- C:\Programme\RawShooterEssentials.exe
[2004.03.30 21:13:00 | 003,625,964 | ---- | M] () -- C:\Programme\Word in pdf.exe
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2008.09.27 16:00:30 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2008.09.27 16:00:30 | 000,634,880 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2008.09.27 16:00:30 | 000,417,792 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 06:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 06:52:34 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 06:52:34 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2004.08.03 23:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\VCP_SAVE\explorer.exe
[2008.04.14 06:52:46 | 004,922,880 | ---- | M] (Microsoft Corporation) MD5=5C68BAA6D3A3A4E8892ABB1A878EACF9 -- C:\WINDOWS\explorer.exe
[2008.04.14 06:52:46 | 004,922,880 | ---- | M] (Microsoft Corporation) MD5=5C68BAA6D3A3A4E8892ABB1A878EACF9 -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.03 23:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-11-07 16:18:08
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\ich\Anwendungsdaten\PnkBstrK.sys:SummaryInformation

< End of report >
--- --- ---



Der Malware Report:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5067

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

07.11.2010 19:43:29
mbam-log-2010-11-07 (19-43-29).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 135883
Laufzeit: 2 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Habe noch einen Scan von gestern der 2 andere Bedrohungen fand:

Code:
ATTFilter
Infizierte Dateien:
C:\Dokumente und Einstellungen\ich\Anwendungsdaten\hoix.ex (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{0E3C592B-1BD0-49B0-BDDF-27E1DDB58CBF}\RP180\A0036985.exe (Trojan.FakeAlert) -> No action taken.
Die Datei namens hoix.exe hieß vorher hotfix.exe. Ich hatte sie umbenannt, weil ich sie nicht löschen konnte. Konnte sie aber nach einem Neustart nicht mehr finden.

Alt 07.11.2010, 21:23   #7
Paro
 
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Standard

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Puuh, das dauert ja ganzschön!

Also hier ist Schritt drei:

Code:
ATTFilter
GMER 1.0.15.15507 - hxxp://www.gmer.net
Rootkit scan 2010-11-07 21:13:14
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\00000061 SAMSUNG_SP1614C SW100-30
Running: oshghhq6.exe; Driver: C:\DOKUME~1\ich\LOKALE~1\Temp\pwddypow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys     section is writeable [0xB6DA8380, 0x3DEB95, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                     avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\nvata \Device\00000061               sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice  \Driver\Tcpip \Device\Tcp                    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\nvata \Device\00000062               sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort0           sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort1           sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3  sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice  \Driver\Tcpip \Device\Udp                    avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                  avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\nvata \Device\NvAta0                 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\nvata \Device\NvAta1                 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

---- EOF - GMER 1.0.15 ----
Hoffe ich hab alles richtig gemacht.
Danke schonmal für die Mühe.

Alt 07.11.2010, 22:47   #8
Swisstreasure
/// Malwareteam
 
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Standard

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Schritt 1

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt 2

Datei-Überprüfung bei VirusTotal

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send filei" nach VirusTotal hochladen und prüfen lassen. Beim Firefox mit NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

Wenn das Ergebnis vorliegt, zunächst den vierzeiligen Kopf hier in den Thread kopieren, damit ich sehe, welche Datei Du wann hast prüfen lassen. Sieht ungefähr so aus:
Code:
ATTFilter
File name:
mbr.exe
Submission date:
2010-09-08 07:58:01 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 43 (0.0%)
Nun kleinen Button "Compact" links oberhalb der Ergebnisse drücken und auf den Reiter BBCode klicken und das Ergebnis inkl. MD5 und SHA1 kopieren und hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen!

Code:
ATTFilter
C:\Programme\imgstack.zip
C:\Programme\RawShooterEssentials.exe
C:\Programme\picturenaut.zip
C:\WINDOWS\System32\Digita.sys

Alt 07.11.2010, 23:35   #9
Paro
 
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Standard

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Hmmm, bist du sicher, dass es an meinen Bildbearbeitungsprogrammen liegt?

Die habe ich nämlich schon mächtig lange und eigentlich war bisher immer "alles in Ordnung". Ehrlich gesagt hätte ich diese Tools als letztes verdächtigt. Ich habe garantiert viel Müll auf dem PC - auch viel neuen Müll, den kein Mensch braucht - ... diese Programme sind sozusagen das einzig sinnvolle was ich auf der Festplatte habe.

Könntest du mir anhand der bisherigen Daten vielleicht schon mal sagen was ich löschen kann, einfach weil es überflüssig ist?

Also hier mal die Berichte:

Code:
ATTFilter
File name: 
imgstack.zip
Submission date: 
2010-11-07 22:14:05 (UTC)
Current status: 
   finished
Result: 
0/ 43 (0.0%)

---

File name: 
RawShooterEssentials.exe
Submission date: 
2010-11-07 22:20:40 (UTC)
Current status: 
   finished
Result: 
0/ 43 (0.0%)

Antivirus results AhnLab-V3 - 2010.11.07.00 - 2010.11.07 - - AntiVir - 7.10.13.164 - 2010.11.07 - - Antiy-AVL - 2.0.3.7 - 2010.11.07 - - Authentium - 5.2.0.5 - 2010.11.07 - - Avast - 4.8.1351.0 - 2010.11.07 - - Avast5 - 5.0.594.0 - 2010.11.07 - - AVG - 9.0.0.851 - 2010.11.07 - - BitDefender - 7.2 - 2010.11.07 - - CAT-QuickHeal - 11.00 - 2010.11.04 - - ClamAV - 0.96.2.0-git - 2010.11.06 - - Comodo - 6644 - 2010.11.07 - - DrWeb - 5.0.2.03300 - 2010.11.07 - - Emsisoft - 5.0.0.50 - 2010.11.07 - - eSafe - 7.0.17.0 - 2010.11.07 - - eTrust-Vet - 36.1.7958 - 2010.11.05 - - F-Prot - 4.6.2.117 - 2010.11.07 - - F-Secure - 9.0.16160.0 - 2010.11.07 - - Fortinet - 4.2.249.0 - 2010.11.07 - - GData - 21 - 2010.11.07 - - Ikarus - T3.1.1.90.0 - 2010.11.07 - - Jiangmin - 13.0.900 - 2010.11.07 - - K7AntiVirus - 9.67.2903 - 2010.11.03 - - Kaspersky - 7.0.0.125 - 2010.11.07 - - McAfee - 5.400.0.1158 - 2010.11.07 - - McAfee-GW-Edition - 2010.1C - 2010.11.07 - - Microsoft - 1.6301 - 2010.11.07 - - NOD32 - 5599 - 2010.11.07 - - Norman - 6.06.10 - 2010.11.07 - - nProtect - 2010-11-07.01 - 2010.11.07 - - Panda - 10.0.2.7 - 2010.11.07 - - PCTools - 7.0.3.5 - 2010.11.07 - - Prevx - 3.0 - 2010.11.07 - - Rising - 22.72.04.00 - 2010.11.06 - - Sophos - 4.59.0 - 2010.11.07 - - Sunbelt - 7245 - 2010.11.07 - - SUPERAntiSpyware - 4.40.0.1006 - 2010.11.07 - - Symantec - 20101.2.0.161 - 2010.11.07 - - TheHacker - 6.7.0.1.079 - 2010.11.07 - - TrendMicro - 9.120.0.1004 - 2010.11.07 - - TrendMicro-HouseCall - 9.120.0.1004 - 2010.11.07 - - VBA32 - 3.12.14.1 - 2010.11.05 - - ViRobot - 2010.10.4.4074 - 2010.11.07 - - VirusBuster - 12.72.1.1 - 2010.11.07 - - File info: MD5: 31101c287958cd68ce9aab434cdf8394 SHA1: d389229aac0ce16cccc1b27ee7483bbfe2cc2f44 SHA256: 9f44b93055be8944d1c31b050b3fbae549b7f9bf337bdcf9acbb4fef46e88e04 File size: 5115780 bytes Scan date: 2010-11-07 22:20:40 (UTC)

---

File name: 
picturenaut.zip
Submission date: 
2010-11-07 22:29:00 (UTC)
Current status: 
   finished
Result: 
0/ 43 (0.0%)


Antivirus results AhnLab-V3 - 2010.11.07.00 - 2010.11.07 - - AntiVir - 7.10.13.164 - 2010.11.07 - - Antiy-AVL - 2.0.3.7 - 2010.11.07 - - Authentium - 5.2.0.5 - 2010.11.07 - - Avast - 4.8.1351.0 - 2010.11.07 - - Avast5 - 5.0.594.0 - 2010.11.07 - - AVG - 9.0.0.851 - 2010.11.07 - - BitDefender - 7.2 - 2010.11.07 - - CAT-QuickHeal - 11.00 - 2010.11.04 - - ClamAV - 0.96.2.0-git - 2010.11.06 - - Comodo - 6644 - 2010.11.07 - - DrWeb - 5.0.2.03300 - 2010.11.07 - - Emsisoft - 5.0.0.50 - 2010.11.07 - - eSafe - 7.0.17.0 - 2010.11.07 - - eTrust-Vet - 36.1.7958 - 2010.11.05 - - F-Prot - 4.6.2.117 - 2010.11.07 - - F-Secure - 9.0.16160.0 - 2010.11.07 - - Fortinet - 4.2.249.0 - 2010.11.07 - - GData - 21 - 2010.11.07 - - Ikarus - T3.1.1.90.0 - 2010.11.07 - - Jiangmin - 13.0.900 - 2010.11.07 - - K7AntiVirus - 9.67.2903 - 2010.11.03 - - Kaspersky - 7.0.0.125 - 2010.11.07 - - McAfee - 5.400.0.1158 - 2010.11.07 - - McAfee-GW-Edition - 2010.1C - 2010.11.07 - - Microsoft - 1.6301 - 2010.11.07 - - NOD32 - 5599 - 2010.11.07 - - Norman - 6.06.10 - 2010.11.07 - - nProtect - 2010-11-07.01 - 2010.11.07 - - Panda - 10.0.2.7 - 2010.11.07 - - PCTools - 7.0.3.5 - 2010.11.07 - - Prevx - 3.0 - 2010.11.07 - - Rising - 22.72.04.00 - 2010.11.06 - - Sophos - 4.59.0 - 2010.11.07 - - Sunbelt - 7245 - 2010.11.07 - - SUPERAntiSpyware - 4.40.0.1006 - 2010.11.07 - - Symantec - 20101.2.0.161 - 2010.11.07 - - TheHacker - 6.7.0.1.079 - 2010.11.07 - - TrendMicro - 9.120.0.1004 - 2010.11.07 - - TrendMicro-HouseCall - 9.120.0.1004 - 2010.11.07 - - VBA32 - 3.12.14.1 - 2010.11.05 - - ViRobot - 2010.10.4.4074 - 2010.11.07 - - VirusBuster - 12.72.1.1 - 2010.11.07 - - File info: MD5: 52d77d1b77691ce6b5822d2a3048db70 SHA1: a721fd69eb832765e512b4e9a6d0f224fa6b9843 SHA256: e0da137a050a256e9d1f5d05edb94b831846d2a1488785a1f5759aef5aa6713a File size: 1412220 bytes Scan date: 2010-11-07 22:29:00 (UTC)

---

File name: 
Digita.sys
Submission date: 
2010-11-07 22:32:30 (UTC)
Current status: 
   finished
Result: 
0/ 43 (0.0%)

Antivirus results AhnLab-V3 - 2010.11.07.00 - 2010.11.07 - - AntiVir - 7.10.13.164 - 2010.11.07 - - Antiy-AVL - 2.0.3.7 - 2010.11.07 - - Authentium - 5.2.0.5 - 2010.11.07 - - Avast - 4.8.1351.0 - 2010.11.07 - - Avast5 - 5.0.594.0 - 2010.11.07 - - AVG - 9.0.0.851 - 2010.11.07 - - BitDefender - 7.2 - 2010.11.07 - - CAT-QuickHeal - 11.00 - 2010.11.04 - - ClamAV - 0.96.2.0-git - 2010.11.06 - - Comodo - 6644 - 2010.11.07 - - DrWeb - 5.0.2.03300 - 2010.11.07 - - Emsisoft - 5.0.0.50 - 2010.11.07 - - eSafe - 7.0.17.0 - 2010.11.07 - - eTrust-Vet - 36.1.7958 - 2010.11.05 - - F-Prot - 4.6.2.117 - 2010.11.07 - - F-Secure - 9.0.16160.0 - 2010.11.07 - - Fortinet - 4.2.249.0 - 2010.11.07 - - GData - 21 - 2010.11.07 - - Ikarus - T3.1.1.90.0 - 2010.11.07 - - Jiangmin - 13.0.900 - 2010.11.07 - - K7AntiVirus - 9.67.2903 - 2010.11.03 - - Kaspersky - 7.0.0.125 - 2010.11.07 - - McAfee - 5.400.0.1158 - 2010.11.07 - - McAfee-GW-Edition - 2010.1C - 2010.11.07 - - Microsoft - 1.6301 - 2010.11.07 - - NOD32 - 5599 - 2010.11.07 - - Norman - 6.06.10 - 2010.11.07 - - nProtect - 2010-11-07.01 - 2010.11.07 - - Panda - 10.0.2.7 - 2010.11.07 - - PCTools - 7.0.3.5 - 2010.11.07 - - Prevx - 3.0 - 2010.11.07 - - Rising - 22.72.04.00 - 2010.11.06 - - Sophos - 4.59.0 - 2010.11.07 - - Sunbelt - 7245 - 2010.11.07 - - SUPERAntiSpyware - 4.40.0.1006 - 2010.11.07 - - Symantec - 20101.2.0.161 - 2010.11.07 - - TheHacker - 6.7.0.1.079 - 2010.11.07 - - TrendMicro - 9.120.0.1004 - 2010.11.07 - - TrendMicro-HouseCall - 9.120.0.1004 - 2010.11.07 - - VBA32 - 3.12.14.1 - 2010.11.05 - - ViRobot - 2010.10.4.4074 - 2010.11.07 - - VirusBuster - 12.72.1.1 - 2010.11.07 - - File info: MD5: 81a3cff05560c1be2789b1f7bdd66b53 SHA1: 34fcb40e38256d79b51ee93a258a12ab210a8ed5 SHA256: a463fd8f298a1c5ee4490f7ca726df4ea1a7fac89ad44b857450b6d6936c95e0 File size: 6688 bytes Scan date: 2010-11-07 22:32:30 (UTC)

Alt 08.11.2010, 13:52   #10
Swisstreasure
/// Malwareteam
 
Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Standard

Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


Ich wollte nur auf Nummer sicher gehen.

Ich sehe zur Zeit keine Infektionen mehr.

Schritt 1

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Hacken bei Yes, i accept the Terms of Use.
  • Drücke den Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
  • drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.

Schritt 2
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
  • Java muss installiert, aktiv und erlaubt sein.
  • Bebilderte Anleitung von sundavis.
  • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Die Datenschutzerklärung akzeptieren.
  • Programm installieren lassen.
  • Update der Signaturen installieren lassen.
  • Wenn der Status "Complete" ist,
  • Scan-Einstellungen (Settings) Standard lassen
  • Links den Link "My Computer" anklicken.
  • Scan beginnt automatisch.
  • Wenn der Scan fertig ist, auf "View scan report" klicken,
  • "Save report as" und Dateityp auf .txt umstellen,
  • und auf dem Desktop als Kaspersky.txt speichern.
  • Logdatei hier posten.
  • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.
Antwort

Themen zu Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich
adobe, avg, avg free, bho, canon, desktop, einstellungen, excel, explorer, firefox, hijack, hijack this, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, logfile, mozilla, nicht möglich, object, plug-in, problem, programm, rundll, software, system, windows, windows xp


« Denke ich habe einen Rootkit, Microsoft Seite und Antivirus Seiten können nicht geöffnet werden! | svchost.exe entfernen, virus »


Ähnliche Themen: Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich


  1. Systemwiederherstellung nicht möglich
    Alles rund um Windows - 04.10.2015 (2)
  2. G data blockiert , keine Systemwiederherstellung möglich , Taskmanager funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 04.04.2015 (18)
  3. Avira antivir guard lässt sich nicht aktivieren / keine Systemwiederherstellung möglich
    Antiviren-, Firewall- und andere Schutzprogramme - 24.09.2014 (25)
  4. Virus: PC fährt nicht mehr hoch - Abgesicherter Modus, Systemwiederherstellung etc. Nicht möglich
    Log-Analyse und Auswertung - 04.12.2013 (5)
  5. Windows 7: Virus überlebt Systemwiederherstellung, Explorer stürzt ab
    Log-Analyse und Auswertung - 18.11.2013 (28)
  6. PC reagiert sehr langsam; Systemwiederherstellung, Defragmentierung nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 16.09.2013 (11)
  7. Virus: PC fährt nicht mehr hoch - Abgesicherter Modus, Systemwiederherstellung etc. Nicht möglich
    Log-Analyse und Auswertung - 31.07.2013 (19)
  8. BKA Trojaner+Abgesicherter Modus gesperrt+Systemwiederherstellung nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 20.06.2013 (8)
  9. UKASH-Trojaner | W7Pro |Systemwiederherstellung nicht möglich | Abgesicherter Modus -> Herunterfahren
    Log-Analyse und Auswertung - 10.04.2013 (9)
  10. GVU-Trojaner: Systemwiederherstellung nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 03.02.2013 (1)
  11. Problem: Virus auf dem pc, Systemwiederherstellung nicht möglich?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2013 (7)
  12. Bka Trojaner keine systemwiederherstellung möglich
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (5)
  13. Entfernen des BKA Trojaners per Systemwiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 01.07.2011 (5)
  14. Noch thinkpoint Reste nach Systemwiederherstellung
    Alles rund um Windows - 09.04.2011 (3)
  15. Windows kann nicht gestartet werden - keine Systemwiederherstellung möglich
    Alles rund um Windows - 26.03.2011 (5)
  16. Thinkpoint entfernung noch möglich?
    Plagegeister aller Art und deren Bekämpfung - 22.11.2010 (19)
  17. keine installations-cd, systemwiederherstellung nicht möglich
    Alles rund um Windows - 08.01.2008 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich - Hallo ihr Lieben. Habe mich eben, nach langer Lektüre in eurem Board dazu entschieden vorsichtshalber doch einmal nachzufragen. Denn: 1. Ich habe generell wenig Plan von solchen Dingen und 2. - Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich...
Archiv
Du betrachtest: Thinkpoint-Attacke überlebt? - Systemwiederherstellung nicht möglich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131