Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Spy.51302422 in winlogon.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.11.2010, 14:42   #1
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Hallo,

vor kurzem habe ich mir einen Virus eingefangen der sich RKIT/Bubnix.abd.1 schimpfte, dieser wurde aber erfolgreich gelöscht, folglich hatte ich danach eine Zeit lang Ruhe, auch nach dem rebooten, nun allerdings meldet mir Antivir bereits beim Start folgende Trojaner:

TR/Spy.51302422 in der winlogon.exe / explorer.exe
TR/PSW.LDPinch.agkv
RKIT/Bubnix.abd.1

ich habe versucht MBAM durchlaufen zu lassen allerdings meldet es mir das mein PC in Ordnung sei, aktualisieren kann ich MBAM allerdings nicht da ich während der Aktualisierung einen Blue Screen bekomme. Daher kann ich leider nur einen HijackThis logfile anbieten.

Hoffe ihr könnt mir helfen, bin für jede Hilfe dankbar!

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:27:50, on 22.11.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pando Networks\Media Booster\PMB.exe
C:\Dokumente und Einstellungen\Sphirex\Startmenü\Programme\Autostart\algdyw32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: algdyw32.exe
O8 - Extra context menu item: Suche - hxxp://edits.myway.com/menusearch.jhtml?s=100000379&p=YI&si=&a=9306CC2F-1DF4-44F7-9E3E-34BC07395E94&n=2010081211
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1279027909359
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

--
End of file - 6150 bytes
         

Alt 22.11.2010, 14:58   #2
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:
  • Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
  • Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
  • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Gmer startet automatisch einen ersten Scan.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    Code:
    ATTFilter
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system?
             
  • Unbedingt auf "No" klicken,
    in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

    .
  • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
  • Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
  • Wichtig: "Show all" darf nicht angehakt sein!
  • Starte den Scan durch Drücken des Buttons "Scan".
    Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
  • Wenn der Scan fertig ist, bleibt die Zeile leer.
    Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
    Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
__________________


Alt 22.11.2010, 15:32   #3
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Erstmal danke für die schnelle und ausführliche Hilfe!

Habe alles wie beschrieben durchgeführt, hier die logfiles:

OTL
Code:
ATTFilter
OTL logfile created on: 22.11.2010 15:10:05 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Sphirex\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
894,00 Mb Total Physical Memory | 480,00 Mb Available Physical Memory | 54,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 93,15 Gb Total Space | 48,04 Gb Free Space | 51,58% Space Free | Partition Type: NTFS
 
Computer Name: ALEXANDE-455B05 | User Name: Sphirex | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe
PRC - [2010.10.08 17:43:05 | 002,969,496 | ---- | M] () -- C:\Programme\Pando Networks\Media Booster\PMB.exe
PRC - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2008.04.14 03:23:05 | 000,513,024 | ---- | M] () -- C:\WINDOWS\system32\winlogon.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] () -- C:\WINDOWS\explorer.exe
PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
PRC - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\o2flash.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe
MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
SRV - [2010.09.23 09:34:53 | 002,950,744 | ---- | M] () [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Akamai\netsession_win_062a651.dll -- (Akamai)
SRV - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\o2flash.exe -- (O2Flash)
SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany)
DRV - [2009.11.25 11:19:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 19:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbaudio.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2008.04.13 18:40:58 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\changer.sys -- (Changer)
DRV - [2008.04.13 18:40:26 | 000,034,688 | ---- | M] (Toshiba Corp.) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\lbrtfdc.sys -- (lbrtfdc)
DRV - [2008.04.13 17:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2006.12.21 17:05:22 | 001,294,336 | ---- | M] (C-Media Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cm108.sys -- (CM1083264)
DRV - [2006.05.10 11:27:00 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2006.04.17 16:31:26 | 004,262,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.04.04 21:58:44 | 001,536,000 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2006.03.23 01:27:10 | 000,488,992 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2006.02.27 15:00:50 | 000,034,880 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2media.sys -- (O2MDRDR)
DRV - [2006.02.20 16:01:06 | 000,029,056 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2sd.sys -- (O2SDRDR)
DRV - [2006.01.20 12:44:42 | 000,862,340 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial)
DRV - [2005.09.30 11:11:42 | 000,078,720 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1
FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q="
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}: C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275} [2010.10.09 15:09:59 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.19 17:17:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.16 19:42:14 | 000,000,000 | ---D | M]
 
[2010.02.25 20:16:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Extensions
[2010.08.12 21:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions
[2010.07.02 18:49:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}(2)
[2010.10.15 11:18:05 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.07.08 07:21:40 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.08 07:21:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.08 07:21:40 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.08 07:21:40 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.08 07:21:40 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0
O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (PokerStars)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1279027909359 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe ()
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.02.25 13:37:12 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll ()
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\Programme\GameHi_USA\SuddenAttackNA\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.lameacm - C:\WINDOWS\System32\lameACM.acm (hxxp://www.mp3dev.org/)
Drivers32: msacm.lhacm - C:\WINDOWS\System32\lhacm.acm (Microsoft Corporation)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.siren - C:\WINDOWS\System32\sirenacm.dll (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (15776209447157760)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.11.22 13:10:15 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe
[2010.11.22 13:10:12 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe
[2010.11.22 13:10:10 | 006,153,352 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\mbam-setup-1.46.exe
[2010.10.09 15:14:06 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.09 15:13:59 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.09 14:21:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.10.09 10:38:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs
[2010.08.16 14:35:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\microsoft
[2010.07.13 15:08:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2010.07.13 15:08:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM
[2010.07.13 15:06:40 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.11.22 15:14:36 | 000,840,192 | ---- | M] () -- C:\WINDOWS\System32\drivers\bxsevl.sys
[2010.11.22 15:14:35 | 000,565,248 | ---- | M] () -- C:\WINDOWS\System32\drivers\dkbuoqmj.sys
[2010.11.22 15:08:14 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.11.22 15:05:16 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe
[2010.11.22 13:56:45 | 003,426,432 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.11.22 13:11:12 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job
[2010.11.22 13:10:50 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe
[2010.11.22 13:06:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.11.22 13:05:14 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe
[2010.11.22 13:00:10 | 006,153,352 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\mbam-setup-1.46.exe
[2010.11.20 15:23:00 | 000,496,152 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.11.20 15:23:00 | 000,472,176 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.11.20 15:23:00 | 000,100,610 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.11.20 15:23:00 | 000,084,048 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.15 16:12:32 | 000,053,248 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.15 15:18:18 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Jyucoweqoharu.dat
[2010.10.15 11:13:35 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Yrumago.bin
[2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\System32\charonce.dll
[2010.10.05 19:13:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.08.23 20:24:34 | 000,000,740 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PokerStars.net.lnk
[2010.08.20 00:20:01 | 000,000,667 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\paw·ned².lnk
[2010.08.18 17:04:57 | 000,000,584 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GUILD WARS.lnk
[2010.08.10 23:28:48 | 000,000,132 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe GIF Format CS5 Prefs
[2010.08.10 22:54:31 | 000,000,132 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe PNG Format CS5 Prefs
[2010.08.08 19:47:14 | 000,000,132 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe BMP Format CS5 Prefs
[2010.08.05 14:46:38 | 000,000,048 | -H-- | M] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.07.11 15:47:57 | 000,000,846 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Advanced SystemCare.lnk
[2010.05.29 13:51:33 | 000,019,856 | -H-- | M] () -- C:\WINDOWS\System32\mlfcache.dat
[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.11.22 15:09:29 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe
[2010.11.22 13:10:50 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.18 09:11:49 | 000,840,192 | ---- | C] () -- C:\WINDOWS\System32\drivers\bxsevl.sys
[2010.10.09 15:28:01 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\drivers\dkbuoqmj.sys
[2010.10.09 15:10:02 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Jyucoweqoharu.dat
[2010.10.09 15:10:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Yrumago.bin
[2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll
[2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat
[2010.08.23 20:24:34 | 000,000,740 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PokerStars.net.lnk
[2010.08.20 00:20:01 | 000,000,667 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\paw·ned².lnk
[2010.08.17 16:08:00 | 000,000,584 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GUILD WARS.lnk
[2010.08.14 15:52:48 | 000,000,422 | -H-- | C] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job
[2010.08.10 22:54:31 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe PNG Format CS5 Prefs
[2010.08.10 22:52:33 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe GIF Format CS5 Prefs
[2010.08.08 19:47:14 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe BMP Format CS5 Prefs
[2010.08.05 14:46:38 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.07.11 15:47:57 | 000,000,846 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Advanced SystemCare.lnk
[2010.06.24 19:13:08 | 000,047,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativvpxx.vp
[2010.06.24 19:13:08 | 000,002,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativdkxx.vp
[2010.06.24 19:13:08 | 000,002,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativckxx.vp
[2010.06.24 19:13:08 | 000,000,929 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativcaxx.vp
[2010.06.24 19:13:07 | 000,370,049 | ---- | C] () -- C:\WINDOWS\System32\atmthaxx.hlx
[2010.06.24 19:13:07 | 000,356,937 | ---- | C] () -- C:\WINDOWS\System32\atmtrkxx.hlx
[2010.06.24 19:13:07 | 000,141,754 | ---- | C] () -- C:\WINDOWS\System32\attkorxx.hlx
[2010.06.24 19:13:07 | 000,141,746 | ---- | C] () -- C:\WINDOWS\System32\atmsvexx.hlx
[2010.06.24 19:13:07 | 000,124,376 | ---- | C] () -- C:\WINDOWS\System32\attjpnxx.hlx
[2010.06.24 19:13:07 | 000,120,302 | ---- | C] () -- C:\WINDOWS\System32\atttrkxx.hlx
[2010.06.24 19:13:07 | 000,045,991 | ---- | C] () -- C:\WINDOWS\System32\attchsxx.hlx
[2010.06.24 19:13:07 | 000,045,762 | ---- | C] () -- C:\WINDOWS\System32\attellxx.hlx
[2010.06.24 19:13:07 | 000,045,716 | ---- | C] () -- C:\WINDOWS\System32\atthunxx.hlx
[2010.06.24 19:13:07 | 000,045,632 | ---- | C] () -- C:\WINDOWS\System32\atthebxx.hlx
[2010.06.24 19:13:07 | 000,045,580 | ---- | C] () -- C:\WINDOWS\System32\attrusxx.hlx
[2010.06.24 19:13:07 | 000,045,411 | ---- | C] () -- C:\WINDOWS\System32\attfraxx.hlx
[2010.06.24 19:13:07 | 000,045,352 | ---- | C] () -- C:\WINDOWS\System32\attptbxx.hlx
[2010.06.24 19:13:07 | 000,044,980 | ---- | C] () -- C:\WINDOWS\System32\attespxx.hlx
[2010.06.24 19:13:07 | 000,044,814 | ---- | C] () -- C:\WINDOWS\System32\attdeuxx.hlx
[2010.06.24 19:13:07 | 000,044,687 | ---- | C] () -- C:\WINDOWS\System32\attdanxx.hlx
[2010.06.24 19:13:07 | 000,044,635 | ---- | C] () -- C:\WINDOWS\System32\attchtxx.hlx
[2010.06.24 19:13:07 | 000,044,514 | ---- | C] () -- C:\WINDOWS\System32\attcsyxx.hlx
[2010.06.24 19:13:07 | 000,044,430 | ---- | C] () -- C:\WINDOWS\System32\attplkxx.hlx
[2010.06.24 19:13:07 | 000,044,109 | ---- | C] () -- C:\WINDOWS\System32\attitaxx.hlx
[2010.06.24 19:13:07 | 000,043,526 | ---- | C] () -- C:\WINDOWS\System32\attnldxx.hlx
[2010.06.24 19:13:07 | 000,043,310 | ---- | C] () -- C:\WINDOWS\System32\attfinxx.hlx
[2010.06.24 19:13:07 | 000,043,288 | ---- | C] () -- C:\WINDOWS\System32\attnorxx.hlx
[2010.06.24 19:13:07 | 000,043,070 | ---- | C] () -- C:\WINDOWS\System32\attaraxx.hlx
[2010.06.24 19:13:07 | 000,041,943 | ---- | C] () -- C:\WINDOWS\System32\attthaxx.hlx
[2010.06.24 19:13:07 | 000,041,265 | ---- | C] () -- C:\WINDOWS\System32\attsvexx.hlx
[2010.06.24 19:13:07 | 000,040,651 | ---- | C] () -- C:\WINDOWS\System32\attenuxx.hlx
[2010.06.24 19:13:06 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativvaxx.dat
[2010.06.24 19:13:06 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2010.06.24 19:13:06 | 001,311,202 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativcaxx.cpa
[2010.06.24 19:13:06 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2010.06.24 19:13:06 | 000,473,475 | ---- | C] () -- C:\WINDOWS\System32\atmkorxx.hlx
[2010.06.24 19:13:06 | 000,399,936 | ---- | C] () -- C:\WINDOWS\System32\atmjpnxx.hlx
[2010.06.24 19:13:06 | 000,353,829 | ---- | C] () -- C:\WINDOWS\System32\atmrusxx.hlx
[2010.06.24 19:13:06 | 000,189,356 | ---- | C] () -- C:\WINDOWS\System32\atmchsxx.hlx
[2010.06.24 19:13:06 | 000,158,080 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2010.06.24 19:13:06 | 000,155,364 | ---- | C] () -- C:\WINDOWS\System32\atmaraxx.hlx
[2010.06.24 19:13:06 | 000,148,616 | ---- | C] () -- C:\WINDOWS\System32\atmhunxx.hlx
[2010.06.24 19:13:06 | 000,148,498 | ---- | C] () -- C:\WINDOWS\System32\atmplkxx.hlx
[2010.06.24 19:13:06 | 000,148,083 | ---- | C] () -- C:\WINDOWS\System32\atmellxx.hlx
[2010.06.24 19:13:06 | 000,147,444 | ---- | C] () -- C:\WINDOWS\System32\atmdeuxx.hlx
[2010.06.24 19:13:06 | 000,145,641 | ---- | C] () -- C:\WINDOWS\System32\atmcsyxx.hlx
[2010.06.24 19:13:06 | 000,145,421 | ---- | C] () -- C:\WINDOWS\System32\atmchtxx.hlx
[2010.06.24 19:13:06 | 000,145,090 | ---- | C] () -- C:\WINDOWS\System32\atmfraxx.hlx
[2010.06.24 19:13:06 | 000,144,323 | ---- | C] () -- C:\WINDOWS\System32\atmhebxx.hlx
[2010.06.24 19:13:06 | 000,144,213 | ---- | C] () -- C:\WINDOWS\System32\atmfinxx.hlx
[2010.06.24 19:13:06 | 000,142,359 | ---- | C] () -- C:\WINDOWS\System32\atmdanxx.hlx
[2010.06.24 19:13:06 | 000,140,646 | ---- | C] () -- C:\WINDOWS\System32\atmitaxx.hlx
[2010.06.24 19:13:06 | 000,140,307 | ---- | C] () -- C:\WINDOWS\System32\atmptbxx.hlx
[2010.06.24 19:13:06 | 000,140,040 | ---- | C] () -- C:\WINDOWS\System32\atmespxx.hlx
[2010.06.24 19:13:06 | 000,139,835 | ---- | C] () -- C:\WINDOWS\System32\atmnldxx.hlx
[2010.06.24 19:13:06 | 000,139,810 | ---- | C] () -- C:\WINDOWS\System32\atmnorxx.hlx
[2010.06.24 19:13:06 | 000,136,272 | ---- | C] () -- C:\WINDOWS\System32\atmenuxx.hlx
[2010.06.24 19:13:06 | 000,066,161 | ---- | C] () -- C:\WINDOWS\System32\atfkorxx.hlx
[2010.06.24 19:13:06 | 000,049,807 | ---- | C] () -- C:\WINDOWS\System32\atfjpnxx.hlx
[2010.06.24 19:13:06 | 000,048,174 | ---- | C] () -- C:\WINDOWS\System32\atftrkxx.hlx
[2010.06.24 19:13:06 | 000,027,697 | ---- | C] () -- C:\WINDOWS\System32\atfhebxx.hlx
[2010.06.24 19:13:06 | 000,026,864 | ---- | C] () -- C:\WINDOWS\System32\atfchsxx.hlx
[2010.06.24 19:13:06 | 000,026,138 | ---- | C] () -- C:\WINDOWS\System32\atfplkxx.hlx
[2010.06.24 19:13:06 | 000,025,327 | ---- | C] () -- C:\WINDOWS\System32\atfrusxx.hlx
[2010.06.24 19:13:06 | 000,025,224 | ---- | C] () -- C:\WINDOWS\System32\atfellxx.hlx
[2010.06.24 19:13:06 | 000,024,892 | ---- | C] () -- C:\WINDOWS\System32\atfhunxx.hlx
[2010.06.24 19:13:06 | 000,024,873 | ---- | C] () -- C:\WINDOWS\System32\atfthaxx.hlx
[2010.06.24 19:13:06 | 000,024,712 | ---- | C] () -- C:\WINDOWS\System32\atfptbxx.hlx
[2010.06.24 19:13:06 | 000,024,652 | ---- | C] () -- C:\WINDOWS\System32\atfaraxx.hlx
[2010.06.24 19:13:06 | 000,024,640 | ---- | C] () -- C:\WINDOWS\System32\atffraxx.hlx
[2010.06.24 19:13:06 | 000,024,589 | ---- | C] () -- C:\WINDOWS\System32\atfchtxx.hlx
[2010.06.24 19:13:06 | 000,024,569 | ---- | C] () -- C:\WINDOWS\System32\atfcsyxx.hlx
[2010.06.24 19:13:06 | 000,024,557 | ---- | C] () -- C:\WINDOWS\System32\atfdeuxx.hlx
[2010.06.24 19:13:06 | 000,024,506 | ---- | C] () -- C:\WINDOWS\System32\atfitaxx.hlx
[2010.06.24 19:13:06 | 000,024,382 | ---- | C] () -- C:\WINDOWS\System32\atfespxx.hlx
[2010.06.24 19:13:06 | 000,024,260 | ---- | C] () -- C:\WINDOWS\System32\atffinxx.hlx
[2010.06.24 19:13:06 | 000,024,229 | ---- | C] () -- C:\WINDOWS\System32\atfnorxx.hlx
[2010.06.24 19:13:06 | 000,024,186 | ---- | C] () -- C:\WINDOWS\System32\atfnldxx.hlx
[2010.06.24 19:13:06 | 000,024,065 | ---- | C] () -- C:\WINDOWS\System32\atfdanxx.hlx
[2010.06.24 19:13:06 | 000,023,980 | ---- | C] () -- C:\WINDOWS\System32\atfsvexx.hlx
[2010.06.24 19:13:06 | 000,023,224 | ---- | C] () -- C:\WINDOWS\System32\atfenuxx.hlx
[2010.06.24 19:13:05 | 000,034,920 | ---- | C] () -- C:\WINDOWS\System32\omega_drivers.bmp
[2010.06.24 19:13:05 | 000,011,717 | ---- | C] () -- C:\WINDOWS\atiogl.xml
[2010.06.24 19:13:05 | 000,007,167 | ---- | C] () -- C:\WINDOWS\System32\atifglpf.xml
[2010.06.08 18:04:14 | 000,049,448 | ---- | C] () -- C:\Programme\changelog.txt
[2010.05.29 13:51:33 | 000,019,856 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010.02.26 10:37:14 | 000,053,248 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.25 21:11:49 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\CM108rm.dll
[2010.02.25 18:49:45 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56spn.dll
[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56itl.dll
[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56eng.dll
[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56brz.dll
[2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56ger.dll
[2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56fra.dll
[2010.02.25 18:43:56 | 000,053,248 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll
[2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56cht.dll
[2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56chs.dll
[2010.02.25 13:48:06 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.02.25 13:40:24 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2010.02.25 13:27:27 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.01.21 12:02:28 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll
[2001.03.30 21:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll
 
========== LOP Check ==========
 
[2010.04.28 12:50:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CCP
[2010.03.25 20:19:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IObit
[2010.10.08 22:35:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files
[2010.08.06 16:52:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
[2010.05.24 16:09:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.03.19 05:01:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669
[2010.08.11 11:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\DVDVideoSoftIEHelpers
[2010.03.06 01:24:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\FileZilla
[2010.02.25 23:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\GetRightToGo
[2010.07.02 19:21:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\gtk-2.0
[2010.03.25 20:18:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\IObit
[2010.08.05 14:27:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Notepad++
[2010.03.05 12:44:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\OpenOffice.org
[2010.03.06 03:53:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PhotoFiltre
[2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong
[2010.03.27 23:00:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\SWiSH Max3
[2010.03.18 14:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Trillian
[2010.03.18 19:21:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TS3Client
[2010.03.07 04:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1
[2010.11.22 13:11:12 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2010.03.25 17:24:44 | 000,000,223 | RHS- | M] () -- C:\boot.ini
[2004.08.04 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.04 13:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2010.03.05 01:31:34 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.11.22 15:08:09 | 1409,286,144 | -HS- | M] () -- C:\pagefile.sys
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2010.02.25 13:36:43 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
[2010.06.08 18:04:14 | 000,049,448 | ---- | M] () -- C:\Programme\changelog.txt
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2010.02.25 14:25:15 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2010.02.25 14:25:15 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2010.02.25 14:25:14 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2004.08.04 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\explorer.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
 
<           >

< End of report >
         
Extras
Code:
ATTFilter
OTL Extras logfile created on: 22.11.2010 15:10:05 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Sphirex\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
894,00 Mb Total Physical Memory | 480,00 Mb Available Physical Memory | 54,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 93,15 Gb Total Space | 48,04 Gb Free Space | 51,58% Space Free | Partition Type: NTFS
 
Computer Name: ALEXANDE-455B05 | User Name: Sphirex | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe ()
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- Reg Error: Value error.
Directory [Winamp.Enqueue] -- Reg Error: Value error.
Directory [Winamp.Play] -- Reg Error: Value error.
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L ()
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L ()
Drive [find] -- %SystemRoot%\Explorer.exe ()
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"57835:TCP" = 57835:TCP:*:Enabled:Pando Media Booster
"57835:UDP" = 57835:UDP:*:Enabled:Pando Media Booster
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"57835:TCP" = 57835:TCP:*:Enabled:Pando Media Booster
"57835:UDP" = 57835:UDP:*:Enabled:Pando Media Booster
"1564:TCP" = 1564:TCP:*:Enabled:Akamai NetSession Interface
"5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\Kamuse\KCSTrayDownloader\KCSTrayDownloaderEngine.exe" = C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\Kamuse\KCSTrayDownloader\KCSTrayDownloaderEngine.exe:*:Enabled:KCSTrayDownloaderEngine -- (Kamuse, Incorporated)
"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{38C7CB9E-1451-38D5-BB97-B7FC59E1A8B8}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Web - deu
"{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{3D9892BB-A751-4E48-ADC8-E4289956CE1D}" = QuickTime
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{732799C0-7785-43C5-8496-71546A062992}" = SuddenAttackNA
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8D70145A-3BD3-4DBF-9CBF-223EF4A43257}" = ATI Parental Control & Encoder
"{91CA8C77-30FC-4AAF-B2EE-F51B0746D95C}" = ATI Catalyst Control Center
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4394612-D02F-11DC-9BFF-D18556D89593}" = Microsoft ASP.NET MVC 1.0
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1E11C46-E6EB-4BD2-9ADF-2A98ACBEB216}" = iTunes
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EB1B0104-6A57-446F-B855-FDF49151BE0C}" = O2Micro Flash Memory Card Windows Driver V2.04
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Advanced SystemCare 3_is1" = Advanced SystemCare 3
"Akamai" = Akamai NetSession Interface
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"CFF5FD902CAD8828AC62E155C542E69D5439C37A" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (04/28/2006 1.3.1.0)
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Game Booster_is1" = Game Booster
"Generic USB 108 Sound" = C-Media USB 108 Sound
"Guild Wars" = GUILD WARS
"ie8" = Windows Internet Explorer 8
"InstallShield_{EB1B0104-6A57-446F-B855-FDF49151BE0C}" = O2Micro Flash Memory Card Windows Driver V2.04
"LameACM" = LameACM
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"paw·ned²" = paw·ned² v1.3
"PokerStars.net" = PokerStars.net
"SMSERIAL" = Motorola SM56 Data Fax Modem
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.5
"WIC" = Windows Imaging Component
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"PhotoFiltre" = PhotoFiltre
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 20.11.2010 10:20:54 | Computer Name = ALEXANDE-455B05 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 22.11.2010 08:07:20 | Computer Name = ALEXANDE-455B05 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
[ System Events ]
Error - 22.11.2010 08:08:43 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist
 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 22.11.2010 08:28:45 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist
 bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 22.11.2010 08:28:53 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7034
Description = Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist bereits
 3 Mal passiert.
 
Error - 22.11.2010 08:56:33 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225
Description = CPLIB :: Open Session  - Failed to load the library
 
Error - 22.11.2010 09:10:10 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225
Description = CPLIB :: Open Session  - Failed to load the library
 
Error - 22.11.2010 09:11:28 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist
 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 22.11.2010 09:11:39 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist
 bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 22.11.2010 09:11:58 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7034
Description = Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist bereits
 3 Mal passiert.
 
Error - 22.11.2010 09:14:07 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225
Description = CPLIB :: Open Session  - Failed to load the library
 
Error - 22.11.2010 10:08:42 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225
Description = CPLIB :: Open Session  - Failed to load the library
 
 
< End of report >
         
gmer_first.log
Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2010-11-22 15:22:45
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHV2100BH rev.00000029
Running: 2tu2mzmd.exe; Driver: C:\DOKUME~1\Sphirex\LOKALE~1\Temp\uwwyqpow.sys


---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs       84B40050

AttachedDevice  \FileSystem\Fastfat \Fat     fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \Driver\Tcpip \Device\Ip     8488F508
Device          \Driver\Tcpip \Device\Tcp    8488F508
Device          \Driver\Tcpip \Device\Udp    8488F508
Device          \Driver\Tcpip \Device\RawIp  8488F508

---- Services - GMER 1.0.15 ----

Service          (*** hidden *** )           [BOOT] bxsevl                                                            <-- ROOTKIT !!!
Service          (*** hidden *** )           [BOOT] dkbuoqmj                                                          <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----
         
__________________

Alt 22.11.2010, 16:02   #4
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Schritt 1

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).
  • Schließe alle Browserfenster.
  • Doppelklicke die JavaRa.exe, um das Programm zu starten.
  • Die Sprache auswählen, nimm Englisch und klicke "Select".
  • Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
  • Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
  • Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
  • Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
  • Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
  • Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
  • Rechner neu starten.
Downloade nun Java (Java Runtime Environment (JRE) 6 Update 22) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.

Schritt 2

Lade dir das Tool Avenger und speichere es auf dem Desktop:

  1. Kopiere nun folgenden Text in das weiße Feld (bei -> "input script here")
    Code:
    ATTFilter
    Drivers to delete:
    bxsevl
    dkbuoqmj
    
    Files to delete:
    C:\WINDOWS\System32\drivers\bxsevl.sys
    C:\WINDOWS\System32\drivers\dkbuoqmj.sys
             
  2. Setze den Haken bei Automatically disable any rootkits found
  3. Schließe alle laufenden Programme. Trenne Dich vom Internet.
  4. Starte Avenger mit Klick auf Execute
  5. Bestätige mit Yes den Neustart des Rechners.
  6. Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
    Poste mir in deiner nächsten Antwort den Inhalt der Avenger.txt

Schritt 3
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll ()
[2010.10.18 09:11:49 | 000,840,192 | ---- | C] () -- C:\WINDOWS\System32\drivers\bxsevl.sys
[2010.10.09 15:28:01 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\drivers\dkbuoqmj.sys
[2010.10.09 15:10:02 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Jyucoweqoharu.dat
[2010.10.09 15:10:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Yrumago.bin
[2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll
[2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat
[2010.11.22 15:05:16 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe
[2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669
FF - HKLM\software\mozilla\Firefox\Extensions\\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}: C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275} [2010.10.09 15:09:59 | 000,000,000 | ---D | M]
[2010.10.09 14:21:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong
:Commands
[purity]
[emptytemp]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • Klick auf .
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Schritt 4

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Geändert von Swisstreasure (22.11.2010 um 16:21 Uhr)

Alt 22.11.2010, 17:37   #5
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Bin wie gewünscht den Anleitungen gefolgt, allerdings bekam ich bei Schritt 3 einen Blue Screen.

Bei Schritt 4 bekam ich beim ersten Scan, beim Punkt "Creating restore point" folgenden Error: "Access violation at adress 0040295B in module 'OTL.exe'. Road of address 001D7000. Bei einem erneuten Scan mit selbigen Einstellungen funktionierte es dann aber, nur die Extra.txt hab ich nicht, keine Ahnung warum.

JavaRa.log
Code:
ATTFilter
JavaRa 1.16 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Mon Nov 22 16:42:52 2010

Found and removed: C:\Programme\Java\jre1.5.0_06

Found and removed: Software\JavaSoft\Java2D\1.5.0_06

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\JavaPlugin.150_06

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_06

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_06

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150060}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\JavaPlugin.160_18

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_18

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_18

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_06

Found and removed: Software\Classes\JavaPlugin.160_18

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_18

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_18

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

------------------------------------

Finished reporting.
         
Avenger.txt
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "bxsevl" deleted successfully.
Driver "dkbuoqmj" deleted successfully.
File "C:\WINDOWS\System32\drivers\bxsevl.sys" deleted successfully.
File "C:\WINDOWS\System32\drivers\dkbuoqmj.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
OTL.txt
Code:
ATTFilter
OTL logfile created on: 22.11.2010 17:19:51 - Run 2
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Sphirex\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
894,00 Mb Total Physical Memory | 506,00 Mb Available Physical Memory | 57,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 93,15 Gb Total Space | 47,54 Gb Free Space | 51,04% Space Free | Partition Type: NTFS
 
Computer Name: ALEXANDE-455B05 | User Name: Sphirex | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe
PRC - [2010.10.08 17:43:05 | 002,969,496 | ---- | M] () -- C:\Programme\Pando Networks\Media Booster\PMB.exe
PRC - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2008.04.14 03:23:05 | 000,513,024 | ---- | M] () -- C:\WINDOWS\system32\winlogon.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] () -- C:\WINDOWS\explorer.exe
PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
PRC - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\o2flash.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe
MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
SRV - [2010.09.23 09:34:53 | 002,950,744 | ---- | M] () [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Akamai\netsession_win_062a651.dll -- (Akamai)
SRV - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\o2flash.exe -- (O2Flash)
SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany)
DRV - [2009.11.25 11:19:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 19:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbaudio.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2008.04.13 18:40:58 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\changer.sys -- (Changer)
DRV - [2008.04.13 18:40:26 | 000,034,688 | ---- | M] (Toshiba Corp.) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\lbrtfdc.sys -- (lbrtfdc)
DRV - [2008.04.13 17:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2006.12.21 17:05:22 | 001,294,336 | ---- | M] (C-Media Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cm108.sys -- (CM1083264)
DRV - [2006.05.10 11:27:00 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2006.04.17 16:31:26 | 004,262,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.04.04 21:58:44 | 001,536,000 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2006.03.23 01:27:10 | 000,488,992 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2006.02.27 15:00:50 | 000,034,880 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2media.sys -- (O2MDRDR)
DRV - [2006.02.20 16:01:06 | 000,029,056 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2sd.sys -- (O2SDRDR)
DRV - [2006.01.20 12:44:42 | 000,862,340 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial)
DRV - [2005.09.30 11:11:42 | 000,078,720 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"
FF - prefs.js..extensions.enabledItems: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q="
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}: C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275} [2010.10.09 15:09:59 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.19 17:17:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.11.22 16:56:07 | 000,000,000 | ---D | M]
 
[2010.02.25 20:16:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Extensions
[2010.08.12 21:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions
[2010.07.02 18:49:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}(2)
[2010.11.22 16:59:48 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.11.22 16:56:09 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.11.22 16:55:48 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.07.08 07:21:40 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.08 07:21:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.08 07:21:40 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.08 07:21:40 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.08 07:21:40 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0
O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (PokerStars)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1279027909359 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe ()
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.02.25 13:37:12 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll ()
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (15776209447157760)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.11.22 17:07:54 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.11.22 17:02:56 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.11.22 16:57:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\LogFiles
[2010.11.22 16:51:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sphirex\Desktop\Alte Logs
[2010.11.22 13:10:15 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe
[2010.11.22 13:10:12 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe
[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.11.22 17:08:46 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.11.22 16:40:28 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\avenger.exe
[2010.11.22 16:40:03 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job
[2010.11.22 15:05:16 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe
[2010.11.22 13:56:45 | 003,426,432 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.11.22 13:10:50 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe
[2010.11.22 13:06:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.11.22 13:05:14 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe
[2010.11.20 15:23:00 | 000,496,152 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.11.20 15:23:00 | 000,472,176 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.11.20 15:23:00 | 000,100,610 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.11.20 15:23:00 | 000,084,048 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.11.22 16:40:26 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\avenger.exe
[2010.11.22 15:09:29 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe
[2010.11.22 13:10:50 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll
[2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat
[2010.08.10 22:54:31 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe PNG Format CS5 Prefs
[2010.08.10 22:52:33 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe GIF Format CS5 Prefs
[2010.08.08 19:47:14 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe BMP Format CS5 Prefs
[2010.06.08 18:04:14 | 000,049,448 | ---- | C] () -- C:\Programme\changelog.txt
[2010.02.26 10:37:14 | 000,053,248 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.25 21:11:49 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\CM108rm.dll
[2010.02.25 18:49:45 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56spn.dll
[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56itl.dll
[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56eng.dll
[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56brz.dll
[2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56ger.dll
[2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56fra.dll
[2010.02.25 18:43:56 | 000,053,248 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll
[2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56cht.dll
[2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56chs.dll
[2010.02.25 13:48:06 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.02.25 13:40:24 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2010.02.25 13:27:27 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.01.21 12:02:28 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll
[2001.03.30 21:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll
 
========== LOP Check ==========
 
[2010.04.28 12:50:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CCP
[2010.03.25 20:19:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IObit
[2010.10.08 22:35:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files
[2010.08.06 16:52:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
[2010.05.24 16:09:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.03.19 05:01:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669
[2010.08.11 11:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\DVDVideoSoftIEHelpers
[2010.03.06 01:24:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\FileZilla
[2010.02.25 23:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\GetRightToGo
[2010.07.02 19:21:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\gtk-2.0
[2010.03.25 20:18:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\IObit
[2010.08.05 14:27:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Notepad++
[2010.03.05 12:44:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\OpenOffice.org
[2010.03.06 03:53:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PhotoFiltre
[2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong
[2010.03.27 23:00:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\SWiSH Max3
[2010.03.18 14:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Trillian
[2010.03.18 19:21:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TS3Client
[2010.03.07 04:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1
[2010.11.22 16:40:03 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2010.11.22 17:02:56 | 000,001,326 | ---- | M] () -- C:\avenger.txt
[2010.03.25 17:24:44 | 000,000,223 | RHS- | M] () -- C:\boot.ini
[2004.08.04 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2010.11.22 16:43:00 | 000,007,960 | ---- | M] () -- C:\JavaRa.log
[2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.04 13:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2010.03.05 01:31:34 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.11.22 17:08:41 | 1409,286,144 | -HS- | M] () -- C:\pagefile.sys
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2010.02.25 13:36:43 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
[2010.06.08 18:04:14 | 000,049,448 | ---- | M] () -- C:\Programme\changelog.txt
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2010.02.25 14:25:15 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2010.02.25 14:25:15 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2010.02.25 14:25:14 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2004.08.04 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\explorer.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
 
<           >

< End of report >
         


Alt 22.11.2010, 19:59   #6
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Versuch nochmal ein OTL Fix:
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL

MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll
O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll ()
[2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll
[2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
[2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669
FF - prefs.js..extensions.enabledItems: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1
[2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong
:Commands
[purity]
[emptytemp]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • Klick auf .
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Alt 22.11.2010, 20:16   #7
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Hier das gewünschte Logfile:

11222010_200752.log
Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\bootyi64:C:\WINDOWS\system32\charonce.dll deleted successfully.
C:\WINDOWS\system32\charonce.dll moved successfully.
File C:\WINDOWS\System32\charonce.dll not found.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Infodelivery\ deleted successfully.
C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669 folder moved successfully.
Prefs.js: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1 removed from extensions.enabledItems
C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong\Data folder moved successfully.
C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes
 
User: Gast2
->Temp folder emptied: 3472199 bytes
->Temporary Internet Files folder emptied: 132579032 bytes
->Java cache emptied: 4450 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 5811 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 13577862 bytes
->Flash cache emptied: 893 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 7570434 bytes
->Flash cache emptied: 803 bytes
 
User: Sphirex
->Temp folder emptied: 489918 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 2748330 bytes
->Flash cache emptied: 456 bytes
 
%systemdrive% .tmp files removed: 285013466 bytes
%systemroot% .tmp files removed: 2503692 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1502673 bytes
RecycleBin emptied: 6159622 bytes
 
Total Files Cleaned = 435,00 mb
 
 
OTL by OldTimer - Version 3.2.17.3 log created on 11222010_200752

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_668.dat not found!

Registry entries deleted on Reboot...
         

Alt 22.11.2010, 20:28   #8
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Gib mir bitte einen Zwischenbericht.

Alt 22.11.2010, 20:43   #9
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Gerne, also von den oben genannten Viren meldet mir mein Antivir nur noch 2, wie gehabt bereits beim Start, hierbei handelt es sich weiterhin um

TR/Spy.51302422 in der winlogo.exe
TR/Spy.10368008 in der explorer.exe

diese meldet er mir aber jemals 2x, sie haben definitiv den selben Namen und sind, laut Antivir, in der selben Datei. Ansonsten ist mir nur aufgefallen das sich mein Firefox von der Optik her verändert hat. Nichts besonderes hatte da nur ne Spielerei zur WM drin.

Gelegentlich beim booten fehlte mir die untere Windowsleiste, dies passiert nun nicht mehr. OTL lief beim letzten Fix ohne Probleme.

Ich hoffe das ist ein brauchbarer Bericht und das du mit Zwischenbericht nicht weitere logfiles meintest, sonst steh ich ziemlich dumm da! =)

Alt 22.11.2010, 21:43   #10
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Nein ich meinte genau solch einen Bericht

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**



  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Alt 22.11.2010, 22:23   #11
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Sieht sehr gut aus, daher schonmal ein Danke! Antivir meldete bisher nichts! =)

Hier noch das logfile:

log
Code:
ATTFilter
ComboFix 10-11-20.05 - Sphirex 22.11.2010  22:05:45.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.894.389 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Sphirex\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Dokumente\Server\admin.txt
c:\dokumente und einstellungen\All Users\Dokumente\Server\server.dat
c:\dokumente und einstellungen\Gast2\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Gast2\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}
c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\chrome.manifest
c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\install.rdf
c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}
c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\chrome.manifest
c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\install.rdf

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2010-10-22 bis 2010-11-22  ))))))))))))))))))))))))))))))
.

2010-11-22 16:07 . 2010-11-22 16:07    --------    d-----w-    C:\_OTL
2010-11-22 15:57 . 2010-11-22 15:57    --------    d-----w-    c:\windows\system32\LogFiles
2010-11-22 15:56 . 2010-11-22 15:55    472808    ----a-w-    c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2010-11-22 15:56 . 2010-11-22 15:55    472808    ----a-w-    c:\windows\system32\deployJava1.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 15:55 . 2010-03-05 11:23    73728    ----a-w-    c:\windows\system32\javacpl.cpl
2010-10-16 08:10 . 2010-10-15 12:14    0    ----a-w-    c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-10-08 2969496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-16 141608]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06    976832    ----a-w-    c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57    35760    ----a-w-    c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 17:43    69632    ----a-w-    c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
2006-01-02 16:41    45056    ----a-w-    c:\programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08    209153    ----a-w-    c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-07-16 05:41    141608    ----a-w-    c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-18 20:16    421888    ----a-w-    c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-04-17 14:34    16143872    ----a-w-    c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2006-01-20 11:34    544768    ----a-w-    c:\windows\sm56hlpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44    248552    ----a-w-    c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\Sphirex\\Lokale Einstellungen\\Anwendungsdaten\\Kamuse\\KCSTrayDownloader\\KCSTrayDownloaderEngine.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57835:TCP"= 57835:TCP:Pando Media Booster
"57835:UDP"= 57835:UDP:Pando Media Booster
"1119:TCP"= 1119:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27.02.2006 15:00 34880]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20.02.2006 16:01 29056]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [04.08.2004 13:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.02.2010 20:31 108289]
S3 11b2d3f572337f44;11b2d3f572337f44;\??\c:\windows\TEMP\7960c1d0b5bf --> c:\windows\TEMP\7960c1d0b5bf [?]
S3 1ac5fb4e9cd43414;1ac5fb4e9cd43414;\??\c:\windows\TEMP\79606099335 --> c:\windows\TEMP\79606099335 [?]
S3 1c828f53abd14cff;1c828f53abd14cff;\??\c:\windows\TEMP\78808698bb22 --> c:\windows\TEMP\78808698bb22 [?]
S3 1d0dce389fd8f96a;1d0dce389fd8f96a;\??\c:\windows\TEMP\79603fb1a415 --> c:\windows\TEMP\79603fb1a415 [?]
S3 2822679e01e7ff95;2822679e01e7ff95;\??\c:\windows\TEMP\78808ad35256 --> c:\windows\TEMP\78808ad35256 [?]
S3 2c4e8fb70f3822ed;2c4e8fb70f3822ed;\??\c:\windows\TEMP\7920a5ccf144 --> c:\windows\TEMP\7920a5ccf144 [?]
S3 2e2af4be3b188899;2e2af4be3b188899;\??\c:\windows\TEMP\7880194e135 --> c:\windows\TEMP\7880194e135 [?]
S3 3f5afb82796e75b1;3f5afb82796e75b1;\??\c:\windows\TEMP\7960f5839e60 --> c:\windows\TEMP\7960f5839e60 [?]
S3 45f271c300cce432;45f271c300cce432;\??\c:\windows\TEMP\8000b20e956b --> c:\windows\TEMP\8000b20e956b [?]
S3 4b42c1f1b7f8cb44;4b42c1f1b7f8cb44;\??\c:\windows\TEMP\7880ae831fba --> c:\windows\TEMP\7880ae831fba [?]
S3 6043a0a029271876;6043a0a029271876;\??\c:\windows\TEMP\788088a4337e --> c:\windows\TEMP\788088a4337e [?]
S3 6b43baa971c633ed;6b43baa971c633ed;\??\c:\windows\TEMP\796085b81c03 --> c:\windows\TEMP\796085b81c03 [?]
S3 81f9f4291525978d;81f9f4291525978d;\??\c:\windows\TEMP\8240cb72d24b --> c:\windows\TEMP\8240cb72d24b [?]
S3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\system32\drivers\cm108.sys [25.02.2010 21:11 1294336]
S3 f727aa1268385c2a;f727aa1268385c2a;\??\c:\windows\TEMP\78802270e804 --> c:\windows\TEMP\78802270e804 [?]
S3 vtany;vtany;\??\c:\windows\vtany.sys --> c:\windows\vtany.sys [?]
S3 xhunter1;xhunter1;\??\c:\windows\xhunter1.sys --> c:\windows\xhunter1.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai    REG_MULTI_SZ       Akamai
.
Inhalt des "geplante Tasks" Ordners

2010-11-22 c:\windows\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Suche - hxxp://edits.myway.com/menusearch.jhtml?s=100000379&p=YI&si=&a=9306CC2F-1DF4-44F7-9E3E-34BC07395E94&n=2010081211
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
FF - ProfilePath - c:\dokumente und einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
MSConfigStartUp-CM108Sound - CM108.cpl
MSConfigStartUp-SearchSettings - c:\programme\pdfforge Toolbar\SearchSettings.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-22 22:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\11b2d3f572337f44]
"ImagePath"="\??\c:\windows\TEMP\7960c1d0b5bf"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1ac5fb4e9cd43414]
"ImagePath"="\??\c:\windows\TEMP\79606099335"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1c828f53abd14cff]
"ImagePath"="\??\c:\windows\TEMP\78808698bb22"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1d0dce389fd8f96a]
"ImagePath"="\??\c:\windows\TEMP\79603fb1a415"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2822679e01e7ff95]
"ImagePath"="\??\c:\windows\TEMP\78808ad35256"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2c4e8fb70f3822ed]
"ImagePath"="\??\c:\windows\TEMP\7920a5ccf144"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2e2af4be3b188899]
"ImagePath"="\??\c:\windows\TEMP\7880194e135"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\3f5afb82796e75b1]
"ImagePath"="\??\c:\windows\TEMP\7960f5839e60"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\45f271c300cce432]
"ImagePath"="\??\c:\windows\TEMP\8000b20e956b"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\4b42c1f1b7f8cb44]
"ImagePath"="\??\c:\windows\TEMP\7880ae831fba"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6043a0a029271876]
"ImagePath"="\??\c:\windows\TEMP\788088a4337e"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6b43baa971c633ed]
"ImagePath"="\??\c:\windows\TEMP\796085b81c03"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\81f9f4291525978d]
"ImagePath"="\??\c:\windows\TEMP\8240cb72d24b"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f727aa1268385c2a]
"ImagePath"="\??\c:\windows\TEMP\78802270e804"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3492)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\o2flash.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-22  22:19:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-22 21:19

Vor Suchlauf: 11 Verzeichnis(se), 50.690.060.288 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 50.648.260.608 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 1FBA9FFEED5C3F5D3DAB2FFB13C3BDB3
         

Alt 22.11.2010, 23:34   #12
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Schritt 1

Combofix mit Skript laufen lassen
  • Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
    Danach wieder anstellen nicht vergessen!
  • Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
Anwendung
  1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
    Code:
    ATTFilter
    File::
    c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin
    
    Folder::
    c:\windows\TEMP\78802270e804
    c:\windows\TEMP\7960c1d0b5bf
    c:\windows\TEMP\79606099335
    c:\windows\TEMP\78808698bb22
    c:\windows\TEMP\79603fb1a415
    c:\windows\TEMP\79603fb1a415
    c:\windows\TEMP\78808ad35256
    c:\windows\TEMP\7920a5ccf144
    c:\windows\TEMP\7880194e135
    c:\windows\TEMP\7960f5839e60
    c:\windows\TEMP\8000b20e956b
    c:\windows\TEMP\7880ae831fba
    c:\windows\TEMP\788088a4337e
    c:\windows\TEMP\796085b81c03
    c:\windows\TEMP\8240cb72d24b
    
    Driver::
    78802270e804
    7960c1d0b5bf
    79606099335
    78808698bb22
    79603fb1a415
    79603fb1a415
    78808ad35256
    7920a5ccf144
    7880194e135
    7960f5839e60
    8000b20e956b
    7880ae831fba
    788088a4337e
    796085b81c03
    8240cb72d24b
    
    Registry::
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\11b2d3f572337f44]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1ac5fb4e9cd43414]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1c828f53abd14cff]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1d0dce389fd8f96a]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2822679e01e7ff95]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2c4e8fb70f3822ed]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2e2af4be3b188899]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\3f5afb82796e75b1]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\45f271c300cce432]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\4b42c1f1b7f8cb44]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6043a0a029271876]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6b43baa971c633ed]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\81f9f4291525978d]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f727aa1268385c2a]
             
  2. Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
    .

    .
  3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
    Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
    Bitte füge es hier als Antwort ein.
Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Alt 23.11.2010, 07:50   #13
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Danke das du dir um die Uhrzeit noch die Mühe gibts mir zu helfen. =)
Sind wir schon auf der Zielgeraden? Antivir ist so ruhig, so ungewohnt, fast schon beängstigend!

Combo-Fix + CFScript.txt log
Code:
ATTFilter
ComboFix 10-11-22.05 - Sphirex 23.11.2010   7:29.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.894.388 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Sphirex\Desktop\Combo-Fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sphirex\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin

.
(((((((((((((((((((((((   Dateien erstellt von 2010-10-23 bis 2010-11-23  ))))))))))))))))))))))))))))))
.

2010-11-22 16:07 . 2010-11-22 16:07    --------    d-----w-    C:\_OTL
2010-11-22 15:57 . 2010-11-22 15:57    --------    d-----w-    c:\windows\system32\LogFiles
2010-11-22 15:56 . 2010-11-22 15:55    472808    ----a-w-    c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2010-11-22 15:56 . 2010-11-22 15:55    472808    ----a-w-    c:\windows\system32\deployJava1.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 15:55 . 2010-03-05 11:23    73728    ----a-w-    c:\windows\system32\javacpl.cpl
.

(((((((((((((((((((((((((((((   SnapShot@2010-11-22_21.14.30   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-11-23 06:21 . 2010-11-23 06:21    16384              c:\windows\Temp\Perflib_Perfdata_6b4.dat
+ 2010-11-23 06:21 . 2010-11-23 06:21    16384              c:\windows\Temp\Perflib_Perfdata_658.dat
- 2010-11-22 21:13 . 2010-11-22 21:13    16384              c:\windows\Temp\Perflib_Perfdata_658.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-10-08 2969496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-16 141608]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06    976832    ----a-w-    c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57    35760    ----a-w-    c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 17:43    69632    ----a-w-    c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
2006-01-02 16:41    45056    ----a-w-    c:\programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08    209153    ----a-w-    c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-07-16 05:41    141608    ----a-w-    c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-18 20:16    421888    ----a-w-    c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-04-17 14:34    16143872    ----a-w-    c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2006-01-20 11:34    544768    ----a-w-    c:\windows\sm56hlpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44    248552    ----a-w-    c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\Sphirex\\Lokale Einstellungen\\Anwendungsdaten\\Kamuse\\KCSTrayDownloader\\KCSTrayDownloaderEngine.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57835:TCP"= 57835:TCP:Pando Media Booster
"57835:UDP"= 57835:UDP:Pando Media Booster
"1082:TCP"= 1082:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27.02.2006 15:00 34880]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20.02.2006 16:01 29056]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [04.08.2004 13:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.02.2010 20:31 108289]
S3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\system32\drivers\cm108.sys [25.02.2010 21:11 1294336]
S3 vtany;vtany;\??\c:\windows\vtany.sys --> c:\windows\vtany.sys [?]
S3 xhunter1;xhunter1;\??\c:\windows\xhunter1.sys --> c:\windows\xhunter1.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai    REG_MULTI_SZ       Akamai
.
Inhalt des "geplante Tasks" Ordners

2010-11-23 c:\windows\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Suche - hxxp://edits.myway.com/menusearch.jhtml?s=100000379&p=YI&si=&a=9306CC2F-1DF4-44F7-9E3E-34BC07395E94&n=2010081211
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
FF - ProfilePath - c:\dokumente und einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-23 07:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-11-23  07:46:09
ComboFix-quarantined-files.txt  2010-11-23 06:46
ComboFix2.txt  2010-11-22 21:19

Vor Suchlauf: 11 Verzeichnis(se), 50.635.784.192 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 50.624.905.216 Bytes frei

- - End Of File - - 4F462420293C4F229259E5C366920124
         

Alt 23.11.2010, 13:04   #14
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Ja auf der Zielgeraden aber noch nicht am Ziel

Schritt 1

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Hacken bei Yes, i accept the Terms of Use.
  • Drücke den Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
  • drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.

Schritt 2
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
  • Java muss installiert, aktiv und erlaubt sein.
  • Bebilderte Anleitung von sundavis.
  • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Die Datenschutzerklärung akzeptieren.
  • Programm installieren lassen.
  • Update der Signaturen installieren lassen.
  • Wenn der Status "Complete" ist,
  • Scan-Einstellungen (Settings) Standard lassen
  • Links den Link "My Computer" anklicken.
  • Scan beginnt automatisch.
  • Wenn der Scan fertig ist, auf "View scan report" klicken,
  • "Save report as" und Dateityp auf .txt umstellen,
  • und auf dem Desktop als Kaspersky.txt speichern.
  • Logdatei hier posten.
  • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

Alt 23.11.2010, 16:02   #15
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



ESET Online Scanner hängte sich vermutlich auf, infos dazu im Log, habe nach einer Stunde abgebrochen. Kaspersky ladete knapp 2 Stunden die aktuelle Database um mir dann zu sagen das die Lizenz ungültig sei, zudem folgende Meldung:

Code:
ATTFilter
Update has failed The program could not be started. Please close the window of Kaspersky Online Scanner 7.0 and start the program again from the web site of Kaspersky Lab.

Successful updating of Kaspersky Online Scanner 7.0 and scanning of your computer requires uninterrupted Internet connection. Please make sure that the Internet connection is established. [ERROR: Anti-virus database was updated after license expiry]
         
ESET log
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ba3b70ecf36cc44ebfa2e72f67857007
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-11-23 01:17:03
# local_time=2010-11-23 02:17:03 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775141 100 94 3735 66030720 0 0
# compatibility_mode=8192 67108863 100 0 3837 3837 0 0
# scanned=17276
# found=0
# cleaned=0
# scan_time=2812
         

Antwort

Themen zu TR/Spy.51302422 in winlogon.exe
adobe, antivir, antivir guard, avira, bho, bonjour, desktop, einstellungen, explorer.exe, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, pando media booster, plug-in, programme, rkit/bubnix.abd.1, software, suche, system, tr/psw.ldpinch.agkv, tr/spy., tr/spy.51302422, trojaner, virus, virus eingefangen, windows, windows xp, winlogon.exe




Ähnliche Themen: TR/Spy.51302422 in winlogon.exe


  1. winlogon
    Plagegeister aller Art und deren Bekämpfung - 16.11.2010 (26)
  2. winlogon.exe, css.exe
    Plagegeister aller Art und deren Bekämpfung - 05.09.2009 (1)
  3. Winlogon.exe infiziert
    Log-Analyse und Auswertung - 26.02.2009 (3)
  4. Winlogon Notify
    Mülltonne - 02.01.2009 (0)
  5. Trojaner winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 04.04.2008 (7)
  6. winlogon.exe infiziert?
    Plagegeister aller Art und deren Bekämpfung - 21.03.2008 (9)
  7. winlogon.exe???
    Mülltonne - 16.03.2008 (0)
  8. TR/Patchd.winlogon.b
    Log-Analyse und Auswertung - 12.03.2008 (4)
  9. winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 12.03.2008 (7)
  10. Winlogon.exe - CPU Auslastung 100%
    Plagegeister aller Art und deren Bekämpfung - 22.11.2007 (12)
  11. winlogon TR/WLHack.A
    Log-Analyse und Auswertung - 30.03.2007 (1)
  12. TR/PatchedI//winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 18.01.2007 (4)
  13. winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 06.01.2007 (2)
  14. winlogon.exe und explorer.exe
    Log-Analyse und Auswertung - 29.12.2006 (9)
  15. OLE##winlogon aus registry ?
    Plagegeister aller Art und deren Bekämpfung - 11.10.2006 (4)
  16. Winlogon.exe Problem
    Log-Analyse und Auswertung - 07.08.2006 (3)
  17. winlogon.exe 50 - 70 % cpu
    Log-Analyse und Auswertung - 17.02.2006 (2)

Zum Thema TR/Spy.51302422 in winlogon.exe - Hallo, vor kurzem habe ich mir einen Virus eingefangen der sich RKIT/Bubnix.abd.1 schimpfte, dieser wurde aber erfolgreich gelöscht, folglich hatte ich danach eine Zeit lang Ruhe, auch nach dem rebooten, - TR/Spy.51302422 in winlogon.exe...
Archiv
Du betrachtest: TR/Spy.51302422 in winlogon.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.