Passwörter funktionieren nicht trojaner gefunden

henry1 · 22.11.2010, 23:01

Hallo, wollte heute mich in mein E-Mai Account einloggen und in 2 andere Communitys. Schaff es aber leider mich nicht einzuloggen.
Habe darauf hin meinen Avira Antivir gestartet und bin auch fündig geworden.
Hab die gefundenen Viren und Trojaner gelöscht. Danach habe ich einen Scan mit dem von euch agegebenen Programm Malewarebytes gestartet und siehe da es ist auch fündig geworden. Habe dann wie empfohlen mir OTL runter geladen.
Hoffte eigentlich das mein Rechner nun sauber wäre aber komm leider immer noch nicht auf die gewünschten Seiten.
Hoffe hab alles richtig gemacht und das mir jemand hier helfen kann.

Hier der Bericht von Antivir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 22. November 2010 12:16

Es wird nach 3078799 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PRIVAT-05361C7C

Versionsinformationen:
BUILD.DAT : 10.0.0.596 31825 Bytes 16.11.2010 15:52:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 08.11.2010 17:48:44
AVSCAN.DLL : 10.0.3.0 56168 Bytes 09.10.2010 07:54:22
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:54:22
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:54:22
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 07:54:22
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 07:54:22
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 17:48:42
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 17:48:42
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 17:48:42
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 17:48:42
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 17:48:42
VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 17:48:42
VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 01:40:40
VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 01:40:42
VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 19:10:43
VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 19:10:58
VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 19:11:15
VBASE020.VDF : 7.10.14.63 128000 Bytes 22.11.2010 19:11:30
VBASE021.VDF : 7.10.14.64 2048 Bytes 22.11.2010 19:11:30
VBASE022.VDF : 7.10.14.65 2048 Bytes 22.11.2010 19:11:31
VBASE023.VDF : 7.10.14.66 2048 Bytes 22.11.2010 19:11:31
VBASE024.VDF : 7.10.14.67 2048 Bytes 22.11.2010 19:11:32
VBASE025.VDF : 7.10.14.68 2048 Bytes 22.11.2010 19:11:32
VBASE026.VDF : 7.10.14.69 2048 Bytes 22.11.2010 19:11:33
VBASE027.VDF : 7.10.14.70 2048 Bytes 22.11.2010 19:11:34
VBASE028.VDF : 7.10.14.71 2048 Bytes 22.11.2010 19:11:34
VBASE029.VDF : 7.10.14.72 2048 Bytes 22.11.2010 19:11:34
VBASE030.VDF : 7.10.14.73 2048 Bytes 22.11.2010 19:11:34
VBASE031.VDF : 7.10.14.74 2048 Bytes 22.11.2010 19:11:34
Engineversion : 8.2.4.112
AEVDF.DLL : 8.1.2.1 106868 Bytes 09.10.2010 07:54:22
AESCRIPT.DLL : 8.1.3.47 1294716 Bytes 22.11.2010 19:16:10
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 19:14:45
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 19:16:17
AERDL.DLL : 8.1.9.2 635252 Bytes 09.10.2010 07:54:22
AEPACK.DLL : 8.2.3.11 471416 Bytes 12.10.2010 10:50:25
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22.11.2010 19:14:40
AEHEUR.DLL : 8.1.2.44 3076471 Bytes 22.11.2010 19:14:35
AEHELP.DLL : 8.1.14.0 246134 Bytes 12.10.2010 10:49:48
AEGEN.DLL : 8.1.4.2 401781 Bytes 22.11.2010 19:12:27
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 19:11:57
AECORE.DLL : 8.1.18.1 196984 Bytes 22.11.2010 19:11:48
AEBB.DLL : 8.1.1.0 53618 Bytes 09.10.2010 07:54:22
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 08.11.2010 17:48:44
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 08.11.2010 17:48:44
AVARKT.DLL : 10.0.0.14 227176 Bytes 09.10.2010 07:54:22
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 08.11.2010 17:48:41

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 22. November 2010 12:16

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'jucheck.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '131' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'bcmwltry.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '424' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\System Volume Information\_restore{0AF13F75-0FBF-48A9-A167-205B62D57D9C}\RP48\A0009215.exe
[FUND] Ist das Trojanische Pferd TR/Renos.AK
C:\System Volume Information\_restore{0AF13F75-0FBF-48A9-A167-205B62D57D9C}\RP48\A0009216.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Bamital.C.768
--> [UnknownShellDir]/setup542.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Drooptroop.hdy.6
C:\System Volume Information\_restore{0AF13F75-0FBF-48A9-A167-205B62D57D9C}\RP48\A0009217.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Drooptroop.hdy.6
Beginne mit der Suche in 'D:\'
D:\System Volume Information\_restore{0AF13F75-0FBF-48A9-A167-205B62D57D9C}\RP48\A0009214.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Generic.246866

Beginne mit der Desinfektion:
D:\System Volume Information\_restore{0AF13F75-0FBF-48A9-A167-205B62D57D9C}\RP48\A0009214.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Generic.246866
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{0AF13F75-0FBF-48A9-A167-205B62D57D9C}\RP48\A0009217.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Drooptroop.hdy.6
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{0AF13F75-0FBF-48A9-A167-205B62D57D9C}\RP48\A0009216.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Bamital.C.768
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{0AF13F75-0FBF-48A9-A167-205B62D57D9C}\RP48\A0009215.exe
[FUND] Ist das Trojanische Pferd TR/Renos.AK
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: Montag, 22. November 2010 13:07
Benötigte Zeit: 35:02 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5347 Verzeichnisse wurden überprüft
225388 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
225383 Dateien ohne Befall
820 Archive wurden durchsucht
0 Warnungen
4 Hinweise
285709 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Hier der Bericht von Malewarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5172

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.11.2010 13:57:19
mbam-log-2010-11-22 (13-57-19).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 141421
Laufzeit: 8 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\C8H1KKCTZV (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Hier noch der Bericht von OTL:OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 22.11.2010 15:20:52 - Run 1
OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\Henry\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
502,00 Mb Total Physical Memory | 94,00 Mb Available Physical Memory | 19,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 44,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 12,74 Gb Free Space | 43,50% Space Free | Partition Type: NTFS
Drive D: | 45,23 Gb Total Space | 44,62 Gb Free Space | 98,65% Space Free | Partition Type: NTFS
 
Computer Name: PRIVAT-05361C7C | User Name: Henry | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- C:\Programme\Google\Chrome\Application\chrome.exe (Google Inc.)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
https [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5985:TCP" = 5985:TCP:*:Disabled:Windows-Remoteverwaltung 
"80:TCP" = 80:TCP:*:Disabled:Windows-Remoteverwaltung - Kompatibilitätsmodus (HTTP eingehend) 
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\mmc.exe" = C:\WINDOWS\system32\mmc.exe:*:Enabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temp\Rar$EX01.406\MathCast.exe" = C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temp\Rar$EX01.406\MathCast.exe:*:Enabled:MathCast Equation Editor -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser
"{1E524A62-E9EF-4DCB-A2B2-09AF39DB51C1}_is1" = Druckverlust 7.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java(TM) 6 Update 10
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{43602F34-1AA3-44FB-AEB2-D08C2C73743F}" = Paint.NET v3.36
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{612B9183-67A9-4B44-9877-2F059E35B86A}" = Broadcom 440x 10/100 Integrated Controller
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}" = Skype Toolbars
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F4A729DB-CF3D-4462-A0FD-55A598B7B67F}_is1" = Windkraft 3.41
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Broadcom 802.11b Network Adapter" = Dell Wireless WLAN Card
"CAD Viewer 8.0" = CAD Viewer 8.0
"CCleaner" = CCleaner
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_14F100C3" = Conexant HDA D110 MDC V.92 Modem
"DivX Setup.divx.com" = DivX-Setup
"DVDVideoSoftTB Toolbar" = DVDVideoSoftTB Toolbar
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8
"Google Chrome" = Google Chrome
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"InstallShield_{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD Ultra
"IrfanView" = IrfanView (remove only)
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.0.0 (Full)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"PDF-XChange 3_is1" = PDF-XChange 3
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Uninstall_is1" = Uninstall 1.0.0.1
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WUV30" = Windows Update Agent 3.0
"XnView_is1" = XnView 1.97.2
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"f031ef6ac137efc5" = Dell Driver Download Manager
 
========== Last 10 Event Log Errors ==========
 
[ System Events ]
Error - 19.11.2010 18:32:14 | Computer Name = PRIVAT-05361C7C | Source = DCOM | ID = 10010
Description = Der Server "{078AEF33-C48A-49F7-AFF3-A0EE810BFE7C}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 20.11.2010 06:40:02 | Computer Name = PRIVAT-05361C7C | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet: %%126
 
Error - 20.11.2010 14:41:05 | Computer Name = PRIVAT-05361C7C | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet: %%126
 
Error - 21.11.2010 11:57:38 | Computer Name = PRIVAT-05361C7C | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet: %%126
 
Error - 21.11.2010 23:40:59 | Computer Name = PRIVAT-05361C7C | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet: %%126
 
Error - 22.11.2010 12:47:41 | Computer Name = PRIVAT-05361C7C | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet: %%126
 
Error - 22.11.2010 12:48:03 | Computer Name = PRIVAT-05361C7C | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.0.101 für die Netzwerkkarte mit der Netzwerkadresse
00197D608503 wurde durch den DHCP-Server 10.10.10.1 abgelehnt (der DHCP-Server hat
eine DHCPNACK-Meldung gesendet).
 
Error - 22.11.2010 16:13:20 | Computer Name = PRIVAT-05361C7C | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet: %%126
 
Error - 22.11.2010 17:59:28 | Computer Name = PRIVAT-05361C7C | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
 
Error - 22.11.2010 17:59:44 | Computer Name = PRIVAT-05361C7C | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Si3112 Si3124 Si3132 Si3132r5 ulsata2
 
 
< End of report >

--- --- ---
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 22.11.2010 15:20:52 - Run 1
OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\Henry\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
502,00 Mb Total Physical Memory | 94,00 Mb Available Physical Memory | 19,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 44,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 12,74 Gb Free Space | 43,50% Space Free | Partition Type: NTFS
Drive D: | 45,23 Gb Total Space | 44,62 Gb Free Space | 98,65% Space Free | Partition Type: NTFS
 
Computer Name: PRIVAT-05361C7C | User Name: Henry | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Henry\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avscan.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - C:\Programme\Java\jre6\bin\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Programme\Windows Live\Contacts\wlcomm.exe (Microsoft Corporation)
PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Henry\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (aspnet_state) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe (Microsoft Corporation)
SRV - (WPFFontCache_v0400) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (NetTcpPortSharing) -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation)
SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (EverestDriver) -- F:\Software\Tools\Benchmark\everestultimate450\kerneld.wnt File not found
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()
DRV - (ftsata2) -- C:\WINDOWS\System32\drivers\ftsata2.sys (Promise Technology, Inc.)
DRV - (Si3114r5) -- C:\WINDOWS\System32\drivers\Si3114r5.sys (Silicon Image, Inc)
DRV - (Si3112) -- C:\WINDOWS\System32\drivers\si3112.sys (Silicon Image, Inc.)
DRV - (Si3132r5) -- C:\WINDOWS\System32\drivers\Si3132r5.sys (Silicon Image, Inc)
DRV - (Si3132) -- C:\WINDOWS\System32\drivers\si3132.sys (Silicon Image, Inc.)
DRV - (Si3124) -- C:\WINDOWS\System32\drivers\si3124.sys (Silicon Image, Inc.)
DRV - (ulsata2) -- C:\WINDOWS\System32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - ({95808DC4-FA4A-4C74-92FE-5B863F82066B}) -- C:\Programme\CyberLink\PowerDVD\000.fcl (Cyberlink Corp.)
DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (BCM43XX) -- C:\WINDOWS\system32\drivers\BCMWL5.SYS (Broadcom Corporation)
DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKCU\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: D:\components
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: D:\plugins
 
 
O1 HOSTS File: ([2008.04.14 04:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.)
O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil10k_ActiveX.exe (Adobe Systems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Henry\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab (Java Plug-in 1.6.0_10)
O16 - DPF: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab (Java Plug-in 1.6.0_10)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_10-windows-i586.cab (Java Plug-in 1.6.0_10)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 200.85.0.107 200.85.0.104
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.10.08 07:55:17 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.11.22 15:19:48 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Henry\Desktop\OTL.exe
[2010.11.22 13:58:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Henry\Recent
[2010.11.22 13:45:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\Anwendungsdaten\Malwarebytes
[2010.11.22 13:45:39 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.11.22 13:45:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.11.22 13:45:35 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.11.22 13:45:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.11.22 13:38:38 | 006,153,648 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Henry\Desktop\mbam-setup.exe
[2010.11.22 12:59:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2010.11.22 12:44:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.11.22 10:14:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\Anwendungsdaten\Avira
[2010.11.18 09:41:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\Anwendungsdaten\GuthCAD
[2010.11.18 09:40:43 | 000,258,352 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\unicows.dll
[2010.11.18 09:40:43 | 000,005,632 | ---- | C] (Tracker Software) -- C:\WINDOWS\System32\pxc25pm.dll
[2010.11.18 09:40:01 | 000,000,000 | ---D | C] -- C:\Programme\CADViewer8
[2010.11.18 08:36:39 | 000,000,000 | ---D | C] -- C:\Programme\Software-Factory
[2010.11.16 11:46:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\Desktop\Fotos
[2010.11.16 11:40:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\Desktop\Praxissemester
[2010.11.08 10:08:30 | 000,000,000 | ---D | C] -- C:\Programme\Adobe
[2010.11.08 09:55:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.11.07 19:47:27 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoftTB
[2010.11.05 10:30:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Musik von Magdalena!!
[2010.11.01 08:18:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\Anwendungsdaten\Media Player Classic
[2010.10.30 16:22:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\System
[2010.10.30 16:22:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\Anwendungsdaten\SmartDraw
[2010.10.29 09:32:40 | 000,000,000 | ---D | C] -- C:\Programme\MSECache
[2010.10.29 09:32:14 | 038,808,920 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\FileFormatConverters.exe
[2010.10.26 13:35:29 | 000,688,056 | ---- | C] (Lutz Herrmann ) -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Windkraftanlagen.EXE
[2010.10.25 15:39:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Meine empfangenen Dateien
[2010.10.25 14:51:55 | 000,177,152 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msctfime.ime
[2010.10.25 12:56:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Henry\Tracing
[2010.10.25 12:52:12 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft
[2010.10.25 12:51:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\microsoft
[2010.10.25 12:51:48 | 000,000,000 | ---D | C] -- C:\Programme\Windows Live SkyDrive
[2010.10.25 12:51:17 | 000,000,000 | ---D | C] -- C:\Programme\Windows Live
[2010.10.25 12:34:07 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Windows Live
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.11.22 15:19:55 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Henry\Desktop\OTL.exe
[2010.11.22 14:24:06 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.11.22 13:59:22 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.11.22 13:59:22 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.11.22 13:59:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.11.22 13:45:42 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.22 13:43:01 | 006,153,648 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Henry\Desktop\mbam-setup.exe
[2010.11.22 11:16:28 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.11.18 10:33:35 | 000,045,121 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\BENEFICIO1.PDF
[2010.11.18 10:33:35 | 000,045,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\BENEFICIO1.PDF
[2010.11.18 10:31:24 | 000,045,974 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\BENEFICIO.pdf
[2010.11.18 09:41:16 | 000,000,055 | ---- | M] () -- C:\hpgl2cad.ini
[2010.11.18 09:41:15 | 000,000,608 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CAD Viewer 8.0 (Deutsch).lnk
[2010.11.18 08:37:08 | 000,000,764 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Druckverlust 7.0.lnk
[2010.11.17 20:11:15 | 000,061,952 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.17 09:23:29 | 000,121,063 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\Sandrasissellaick.jpg
[2010.11.16 22:37:34 | 000,516,940 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.11.16 22:37:34 | 000,493,568 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.11.16 22:37:34 | 000,101,048 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.11.16 22:37:34 | 000,084,112 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.11.16 19:39:55 | 011,205,507 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\20080930_endbericht_mikronetze.pdf
[2010.11.16 15:19:42 | 000,196,753 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\dvgw_arbeitsblatt_g2000.pdf
[2010.11.16 15:08:31 | 000,236,209 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\g2000_en.pdf
[2010.11.11 16:33:28 | 000,176,128 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\Thermische Nutzung von Biogas.doc
[2010.11.08 10:09:05 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.11.08 09:48:45 | 000,126,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.11.05 23:49:43 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.11.05 15:08:43 | 000,018,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Mappe1.xls
[2010.11.05 08:35:05 | 000,002,409 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2010.11.04 22:40:47 | 000,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Volkswagen.doc
[2010.11.04 22:26:49 | 000,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Stiftung.doc
[2010.11.04 19:48:49 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2010.11.03 10:01:36 | 000,232,601 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\dp Gas.zip
[2010.11.01 10:48:39 | 000,392,913 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\Die_etwas_intelligentere_Art_sich_gegen_dumme_Sprueche_zu_wehren.rar
[2010.11.01 09:28:33 | 596,596,695 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\wallstreet.flv
[2010.11.01 00:57:28 | 466,922,503 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\micmacs.flv
[2010.10.31 16:08:02 | 680,326,956 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\R.E.D._.Aelter.haerter.besser.avi
[2010.10.29 20:39:52 | 000,267,008 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.29 13:17:46 | 008,675,868 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\MathCast089.zip
[2010.10.29 09:32:13 | 038,808,920 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\FileFormatConverters.exe
[2010.10.27 12:43:24 | 003,508,897 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Energietechnik_Formelsammlung.zip
[2010.10.27 12:38:44 | 000,098,119 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\53159-Formeln_Thermodynamik.zip
[2010.10.26 13:37:13 | 000,000,520 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Windkraft.lnk
[2010.10.26 13:35:29 | 000,688,056 | ---- | M] (Lutz Herrmann ) -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Windkraftanlagen.EXE
[2010.10.26 11:37:13 | 000,029,173 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\index.htm
[2010.10.24 22:07:57 | 000,000,610 | ---- | M] () -- C:\Dokumente und Einstellungen\Henry\Desktop\IrfanView.lnk
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.11.22 13:45:42 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.18 10:34:56 | 000,045,121 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\BENEFICIO1.PDF
[2010.11.18 10:33:35 | 000,045,121 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\BENEFICIO1.PDF
[2010.11.18 10:31:24 | 000,045,974 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\BENEFICIO.pdf
[2010.11.18 09:41:16 | 000,000,055 | ---- | C] () -- C:\hpgl2cad.ini
[2010.11.18 09:41:15 | 000,000,608 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CAD Viewer 8.0 (Deutsch).lnk
[2010.11.18 09:09:16 | 000,248,786 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\BENEFICIO.dwg
[2010.11.18 08:37:07 | 000,000,764 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Druckverlust 7.0.lnk
[2010.11.17 09:23:29 | 000,121,063 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\Sandrasissellaick.jpg
[2010.11.16 18:46:07 | 011,205,507 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\20080930_endbericht_mikronetze.pdf
[2010.11.16 15:19:42 | 000,196,753 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\dvgw_arbeitsblatt_g2000.pdf
[2010.11.16 15:08:31 | 000,236,209 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\g2000_en.pdf
[2010.11.11 10:38:18 | 000,176,128 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\Thermische Nutzung von Biogas.doc
[2010.11.08 10:09:05 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.11.04 22:40:47 | 000,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Volkswagen.doc
[2010.11.04 22:26:48 | 000,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Stiftung.doc
[2010.11.03 14:25:30 | 000,018,944 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Mappe1.xls
[2010.11.03 10:01:21 | 000,232,601 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\dp Gas.zip
[2010.11.01 10:58:47 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.11.01 10:48:33 | 000,392,913 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\Die_etwas_intelligentere_Art_sich_gegen_dumme_Sprueche_zu_wehren.rar
[2010.11.01 09:28:34 | 596,596,695 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\wallstreet.flv
[2010.11.01 00:57:28 | 466,922,503 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\micmacs.flv
[2010.10.31 16:08:04 | 680,326,956 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\R.E.D._.Aelter.haerter.besser.avi
[2010.10.31 09:25:44 | 054,104,064 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\Spanisch Schimpfen.mp3
[2010.10.29 13:17:46 | 008,675,868 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\MathCast089.zip
[2010.10.27 12:43:24 | 003,508,897 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Energietechnik_Formelsammlung.zip
[2010.10.27 12:38:36 | 000,098,119 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Eigene Dateien\53159-Formeln_Thermodynamik.zip
[2010.10.26 13:37:13 | 000,000,520 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Windkraft.lnk
[2010.10.26 11:37:13 | 000,029,173 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\index.htm
[2010.10.24 22:07:56 | 000,000,610 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Desktop\IrfanView.lnk
[2010.10.19 12:14:52 | 000,061,952 | ---- | C] () -- C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.09 00:12:42 | 000,168,448 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2010.10.09 00:12:42 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini
[2010.10.09 00:12:39 | 000,881,664 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2010.10.09 00:12:39 | 000,205,824 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2010.10.09 00:12:38 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2010.10.09 00:12:34 | 000,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2010.10.08 23:56:59 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2010.10.08 23:50:48 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.10.08 08:39:50 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.10.08 08:21:34 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4814.dll
[2010.10.08 08:20:03 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\preflib.dll
[2010.10.08 08:20:02 | 000,757,760 | ---- | C] () -- C:\WINDOWS\System32\bcm1xsup.dll
[2009.08.17 01:32:37 | 000,691,592 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2008.04.14 04:00:00 | 000,755,200 | ---- | C] () -- C:\WINDOWS\System32\ir50_32.dll
[2008.04.14 04:00:00 | 000,338,432 | ---- | C] () -- C:\WINDOWS\System32\ir41_qcx.dll
[2008.04.14 04:00:00 | 000,200,192 | ---- | C] () -- C:\WINDOWS\System32\ir50_qc.dll
[2008.04.14 04:00:00 | 000,183,808 | ---- | C] () -- C:\WINDOWS\System32\ir50_qcx.dll
[2008.04.14 04:00:00 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\ir41_qc.dll
[2003.02.20 08:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
< End of report >

--- --- ---

Sorry, und hier natürlich die Auswertung von Hijack. Hoffe ihr könnt damit was anfangen. Sag schonmal danke im Vorraus

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:44, on 22.11.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JFKHF42K\HiJackThis[1].exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe -update activex
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Henry\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O13 - Gopher Prefix: 
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
 
--
End of file - 8467 bytes

--- --- ---

cosinus · 23.11.2010, 11:46

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

henry1 · 23.11.2010, 21:28

Hallo freut mich das sich jemand erbarmt hat mir zu helfen,

hier der neuste Report von Malware.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5177

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.11.2010 14:16:44
mbam-log-2010-11-23 (14-16-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 167878
Laufzeit: 32 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hier noch mein erster Bericht von der Überprüfung mit Malware.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5172

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.11.2010 13:57:19
mbam-log-2010-11-22 (13-57-19).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 141421
Laufzeit: 8 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\C8H1KKCTZV (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

hoffe du kannst damit was anfangen.

henry1 · 24.11.2010, 00:05

hab gerade meine Cookies gelöscht. Sind leider 3 dabei die ich nicht löschen kann:
henry@studivz.adfarm1adition.com
henry@adfarm1.adition.com
henry@facebook.com

vieleicht hilft dir das weiter Arne.

cosinus · 24.11.2010, 10:08

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

henry1 · 24.11.2010, 17:28

Moi moin,
mein Rechner kommt mir vor wie neu, hab alles durchgeführt wie gefordert.

hier die Log Datei:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-11-23.05 - Henry 24.11.2010  10:09:15.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.502.209 [GMT -8:00]
ausgeführt von:: c:\dokumente und einstellungen\Henry\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Henry\System
c:\dokumente und einstellungen\Henry\System\win_qs8.jqx
D:\install.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2010-10-24 bis 2010-11-24  ))))))))))))))))))))))))))))))
.

2010-11-24 18:15 . 2010-11-24 18:15	--------	d-----w-	c:\windows\system32\xircom
2010-11-24 18:15 . 2010-11-24 18:15	--------	d-----w-	c:\windows\system32\wbem\snmp
2010-11-24 18:15 . 2010-11-24 18:15	--------	d-----w-	c:\programme\microsoft frontpage
2010-11-23 01:06 . 2010-11-23 01:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-11-23 01:05 . 2010-09-15 12:50	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-23 00:59 . 2010-11-23 00:59	--------	d-sh--w-	c:\dokumente und einstellungen\Henry\IECompatCache
2010-11-22 21:45 . 2010-11-22 21:45	--------	d-----w-	c:\dokumente und einstellungen\Henry\Anwendungsdaten\Malwarebytes
2010-11-22 21:45 . 2010-04-29 20:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-22 21:45 . 2010-11-22 21:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-22 21:45 . 2010-11-22 21:45	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-22 21:45 . 2010-04-29 20:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-22 20:58 . 2010-11-22 20:58	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2010-11-22 20:44 . 2010-11-22 20:44	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-11-22 18:14 . 2010-11-22 18:14	--------	d-----w-	c:\dokumente und einstellungen\Henry\Anwendungsdaten\Avira
2010-11-18 17:41 . 2010-11-18 17:41	--------	d-----w-	c:\dokumente und einstellungen\Henry\Anwendungsdaten\GuthCAD
2010-11-18 17:40 . 2006-01-30 17:32	5632	----a-w-	c:\windows\system32\pxc25pm.dll
2010-11-18 17:40 . 2004-12-07 15:11	258352	----a-w-	c:\windows\system32\unicows.dll
2010-11-18 17:40 . 2010-11-18 17:41	--------	d-----w-	c:\programme\CADViewer8
2010-11-18 16:36 . 2010-11-18 16:36	--------	d-----w-	c:\programme\Software-Factory
2010-11-08 17:55 . 2010-11-24 00:19	--------	d-----w-	c:\windows\system32\NtmsData
2010-11-08 17:49 . 2010-11-08 17:49	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2010-11-08 03:47 . 2010-11-08 03:47	--------	d-----w-	c:\programme\DVDVideoSoftTB
2010-11-01 16:18 . 2010-11-24 17:48	--------	d-----w-	c:\dokumente und einstellungen\Henry\Anwendungsdaten\Media Player Classic
2010-10-29 17:32 . 2010-10-29 17:32	--------	d-----w-	c:\programme\MSECache
2010-10-25 20:56 . 2010-11-24 18:17	--------	d-----w-	c:\dokumente und einstellungen\Henry\Tracing
2010-10-25 20:52 . 2010-10-25 20:52	--------	d-----w-	c:\programme\Microsoft
2010-10-25 20:51 . 2010-10-25 20:51	--------	d-----w-	c:\programme\Windows Live SkyDrive
2010-10-25 20:51 . 2010-10-25 20:52	--------	d-----w-	c:\programme\Windows Live
2010-10-25 20:34 . 2010-10-25 20:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\Windows Live

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 19:16 . 2010-10-09 07:52	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-08 17:48 . 2010-10-09 07:52	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-09-18 10:22 . 2008-04-14 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2008-04-14 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2008-04-14 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2008-04-14 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-15 10:29 . 2010-10-09 08:11	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-09-10 05:46 . 2009-08-17 09:33	919552	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:46 . 2009-08-17 09:31	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:46 . 2009-08-17 09:31	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2010-09-01 11:50 . 2008-04-14 12:00	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2009-08-17 09:33	1862016	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 07:58 . 2009-08-17 09:33	119808	----a-w-	c:\windows\system32\t2embed.dll
2010-08-27 06:04 . 2008-04-14 12:00	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 05:13 . 2009-08-17 09:33	5632	----a-w-	c:\windows\system32\xpsp4res.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-27 18:08	2393184	----a-w-	c:\programme\DVDVideoSoftTB\tbDVDV.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-09-02 13351304]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2010-04-17 3872080]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-03-16 1392640]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-03-30 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-03-30 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-03-30 138008]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-08 281768]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-03-14 54832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-08-17 128512]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Si3124;Si3124;c:\windows\system32\drivers\si3124.sys [23.07.2009 13:29 69248]
R0 ulsata2;ulsata2;c:\windows\system32\drivers\ulsata2.sys [23.07.2009 13:29 125952]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [08.10.2010 23:52 135336]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 03:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [14.10.2010 23:13 135664]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\f:\software\Tools\Benchmark\everestultimate450\kerneld.wnt --> f:\software\Tools\Benchmark\everestultimate450\kerneld.wnt [?]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [14.04.2008 04:00 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 03:16 753504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM	REG_MULTI_SZ   	WINRM
.
Inhalt des "geplante Tasks" Ordners

2010-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-10-15 07:13]

2010-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-10-15 07:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Henry\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Henry\Anwendungsdaten\Mozilla\Firefox\Profiles\xknrx80h.Standard-Benutzer\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-SigmatelSysTrayApp - %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-24 10:16
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\f:\software\Tools\Benchmark\everestultimate450\kerneld.wnt"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(800)
c:\windows\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(2660)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\msi.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\CyberLink\Shared files\RichVideo.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-24  10:20:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-24 18:20

Vor Suchlauf: 6 Verzeichnis(se), 13.646.643.200 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 13.609.033.728 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - AE312331E540BE90F6B3B780398E6325

--- --- ---

Bin ich jetzt geheilt? Mich würde noch interrissiern wie man sich dieses Wissen aneignen kann um bei der nächsten Attacke gewappnet zu sein.
Schöne Grüße aus dem sonnigen El Salvador und vielen Dank.
Henry

cosinus · 24.11.2010, 17:45

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

henry1 · 24.11.2010, 21:19

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-24 14:18:50
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 TOSHIBA_MK8034GSX rev.AH301D
Running: 9rlqbf6e.exe; Driver: C:\DOKUME~1\Henry\LOKALE~1\Temp\uwkirkow.sys


---- System - GMER 1.0.15 ----

SSDT            F8A68686                                 ZwCreateKey
SSDT            F8A6867C                                 ZwCreateThread
SSDT            F8A6868B                                 ZwDeleteKey
SSDT            F8A68695                                 ZwDeleteValueKey
SSDT            F8A6869A                                 ZwLoadKey
SSDT            F8A68668                                 ZwOpenProcess
SSDT            F8A6866D                                 ZwOpenThread
SSDT            F8A686A4                                 ZwReplaceKey
SSDT            F8A6869F                                 ZwRestoreKey
SSDT            F8A68690                                 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

                C:\Programme\CyberLink\PowerDVD\000.fcl  entry point in "" section [0xA98DE000]
.clc            C:\Programme\CyberLink\PowerDVD\000.fcl  unknown last section [0xA98DF000, 0x1000, 0x00000000]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

--- --- ---

henry1 · 24.11.2010, 21:43

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:41:29 on 24.11.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BCMWLCPL.CPL" - "Dell Inc." - C:\WINDOWS\system32\BCMWLCPL.CPL
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi.exe\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ftsata2" (ftsata2) - "Promise Technology, Inc." - C:\WINDOWS\system32\drivers\ftsata2.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Lavalys EVEREST Kernel Driver" (EverestDriver) - ? - F:\Software\Tools\Benchmark\everestultimate450\kerneld.wnt  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Si3112" (Si3112) - "Silicon Image, Inc." - C:\WINDOWS\system32\drivers\Si3112.sys
"Si3114r5" (Si3114r5) - "Silicon Image, Inc" - C:\WINDOWS\system32\drivers\Si3114r5.sys
"Si3124" (Si3124) - "Silicon Image, Inc." - C:\WINDOWS\system32\drivers\Si3124.sys
"Si3132" (Si3132) - "Silicon Image, Inc." - C:\WINDOWS\system32\drivers\Si3132.sys
"Si3132r5" (Si3132r5) - "Silicon Image, Inc" - C:\WINDOWS\system32\drivers\Si3132r5.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"ulsata2" (ulsata2) - "Promise Technology, Inc." - C:\WINDOWS\system32\drivers\ulsata2.sys
"uwkirkow" (uwkirkow) - ? - C:\DOKUME~1\Henry\LOKALE~1\Temp\uwkirkow.sys  (Hidden registry entry, rootkit activity | File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"{95808DC4-FA4A-4C74-92FE-5B863F82066B}" ({95808DC4-FA4A-4C74-92FE-5B863F82066B}) - "Cyberlink Corp." - C:\Programme\CyberLink\PowerDVD\000.fcl

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{91774881-D725-4E58-B298-07617B9B86A8} "skype-ie-addon-data" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - D:\Neuer Ordner\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Plug-In" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -   (File not found | COM-object registry key not found)
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Henry\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"msnmsgr" - "Microsoft Corporation" - "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
"Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Broadcom Wireless Manager UI" - "Dell Inc." - C:\WINDOWS\system32\WLTRAY.exe
"DivXUpdate" - ? - "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"LanguageShortcut" - ? - C:\Programme\CyberLink\PowerDVD\Language\Language.exe
"RemoteControl" - "Cyberlink Corp." - C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Dell Wireless WLAN Card Logon Provider" - "Dell Inc." - C:\WINDOWS\System32\BCMLogon.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"PDF-XChange" - "Tracker Software" - C:\WINDOWS\system32\pxc25pm.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"Automatische Updates" (wuauserv) - "Microsoft Corporation" - C:\WINDOWS\system32\wuauserv.dll
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\CyberLink\Shared files\RichVideo.exe
"Dell Wireless WLAN Tray Service" (wltrysvc) - ? - C:\WINDOWS\System32\WLTRYSVC.EXE  (File found, but it contains no detailed information)
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"NMSAccess" (NMSAccess) - ? - C:\Programme\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{F9C77450-3A41-477E-9310-9ACD617BD9E3} "Group Policy Applications" - ? - gpprefcl.dll  (File not found)
{728EE579-943C-4519-9EF7-AB56765798ED} "Group Policy Data Sources" - ? - gpprefcl.dll  (File not found)
{1A6364EB-776B-4120-ADE1-B63A406A76B5} "Group Policy Device Settings" - ? - gpprefcl.dll  (File not found)
{5794DAFD-BE60-433f-88A2-1A31939AC01F} "Group Policy Drive Maps" - ? - gpprefcl.dll  (File not found)
{0E28E245-9368-4853-AD84-6DA3BA35BB75} "Group Policy Environment" - ? - gpprefcl.dll  (File not found)
{7150F9BF-48AD-4da4-A49C-29EF4A8369BA} "Group Policy Files" - ? - gpprefcl.dll  (File not found)
{A3F3E39B-5D83-4940-B954-28315B82F0A8} "Group Policy Folder Options" - ? - gpprefcl.dll  (File not found)
{6232C319-91AC-4931-9385-E70C2B099F0E} "Group Policy Folders" - ? - gpprefcl.dll  (File not found)
{74EE6C03-5363-4554-B161-627540339CAB} "Group Policy Ini Files" - ? - gpprefcl.dll  (File not found)
{E47248BA-94CC-49c4-BBB5-9EB7F05183D0} "Group Policy Internet Settings" - ? - gpprefcl.dll  (File not found)
{17D89FEC-5C44-4972-B12D-241CAEF74509} "Group Policy Local Users and Groups" - ? - gpprefcl.dll  (File not found)
{3A0DBA37-F8B2-4356-83DE-3E90BD5C261F} "Group Policy Network Options" - ? - gpprefcl.dll  (File not found)
{6A4C88C6-C502-4f74-8F60-2CB23EDC24E2} "Group Policy Network Shares" - ? - gpprefcl.dll  (File not found)
{E62688F0-25FD-4c90-BFF5-F508B9D2E31F} "Group Policy Power Options" - ? - gpprefcl.dll  (File not found)
{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D} "Group Policy Printers" - ? - gpprefcl.dll  (File not found)
{E5094040-C46C-4115-B030-04FB2E545B00} "Group Policy Regional Options" - ? - gpprefcl.dll  (File not found)
{B087BE9D-ED37-454f-AF9C-04291E351182} "Group Policy Registry" - ? - gpprefcl.dll  (File not found)
{AADCED64-746C-4633-A97C-D61349046527} "Group Policy Scheduled Tasks" - ? - gpprefcl.dll  (File not found)
{91FBB303-0CD5-4055-BF42-E512A681B325} "Group Policy Services" - ? - gpprefcl.dll  (File not found)
{C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7} "Group Policy Shortcuts" - ? - gpprefcl.dll  (File not found)
{E4F48E54-F38D-4884-BFB9-D4D2E5729C18} "Group Policy Start Menu Settings" - ? - gpprefcl.dll  (File not found)
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

henry1 · 24.11.2010, 21:45

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000007`52c65e00 (NTFS)

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!
Press ENTER to exit...

henry1 · 24.11.2010, 21:47

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 135):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF8974000 \WINDOWS\system32\KDCOM.DLL
0xF8884000 \WINDOWS\system32\BOOTVID.dll
0xF8344000 ACPI.sys
0xF8976000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF8333000 pci.sys
0xF8474000 isapnp.sys
0xF8484000 ohci1394.sys
0xF8494000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF8888000 compbatt.sys
0xF888C000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF8A3C000 pciide.sys
0xF86F4000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF84A4000 MountMgr.sys
0xF8314000 ftdisk.sys
0xF86FC000 PartMgr.sys
0xF84B4000 VolSnap.sys
0xF82FC000 atapi.sys
0xF82B9000 ftsata2.sys
0xF82A1000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF84C4000 Si3112.sys
0xF826C000 Si3114r5.sys
0xF825B000 Si3124.sys
0xF824A000 Si3132.sys
0xF8219000 Si3132r5.sys
0xF81E7000 ulsata2.sys
0xF84D4000 disk.sys
0xF84E4000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF81C7000 fltMgr.sys
0xF81B5000 sr.sys
0xF84F4000 PxHelp20.sys
0xF819E000 KSecDD.sys
0xF8111000 Ntfs.sys
0xF80E4000 NDIS.sys
0xF80CA000 Mup.sys
0xF8624000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF8930000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF8934000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7B00000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
0xF7AEC000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7AC4000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7A30000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xF87AC000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF7A0C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF87B4000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF8634000 \SystemRoot\system32\DRIVERS\bcm4sbxp.sys
0xF8644000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF79F8000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xF8654000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF79C9000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF898C000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF87BC000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF87C4000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF8664000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF8674000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF8684000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF79A6000 \SystemRoot\system32\DRIVERS\ks.sys
0xF8A78000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF8694000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF893C000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF798F000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF86A4000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF86B4000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF87CC000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7956000 \SystemRoot\system32\DRIVERS\psched.sys
0xF86C4000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF87D4000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF87DC000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF86D4000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF898E000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7858000 \SystemRoot\system32\DRIVERS\update.sys
0xF8948000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF86E4000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAA6A2000 \SystemRoot\system32\drivers\sthda.sys
0xAA67E000 \SystemRoot\system32\drivers\portcls.sys
0xF8524000 \SystemRoot\system32\drivers\drmk.sys
0xAA64C000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xAA54F000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xAA49F000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xF87E4000 \SystemRoot\System32\Drivers\Modem.SYS
0xF8534000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF809E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8B55000 \SystemRoot\System32\Drivers\Null.SYS
0xF899C000 \SystemRoot\System32\Drivers\Beep.SYS
0xF8814000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF881C000 \SystemRoot\System32\drivers\vga.sys
0xF899E000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF89A0000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF8824000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF882C000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF8096000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAA444000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAA3EB000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAA3C3000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAA39D000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAA37B000 \SystemRoot\System32\drivers\afd.sys
0xF8544000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF8834000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAA350000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAA2B8000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF8554000 \SystemRoot\System32\Drivers\Fips.SYS
0xF8564000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF8574000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xAA1F5000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF89A4000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF8928000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF8594000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF798B000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF7987000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF85D4000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xAA1DD000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF89AC000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAA493000 \SystemRoot\System32\drivers\Dxapi.sys
0xF884C000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8B11000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04E000 \SystemRoot\System32\igxpdv32.DLL
0xBF1D8000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xAA088000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xAA09D000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA9E03000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA9DC6000 \SystemRoot\system32\drivers\wdmaud.sys
0xF78D6000 \SystemRoot\system32\drivers\sysaudio.sys
0xA9A20000 \SystemRoot\system32\DRIVERS\srv.sys
0xA9B70000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xA98C3000 \??\C:\Programme\CyberLink\PowerDVD\000.fcl
0xA92E2000 \SystemRoot\System32\Drivers\HTTP.sys
0xA8FCC000 \??\C:\DOKUME~1\Henry\LOKALE~1\Temp\uwkirkow.sys
0xA8FA1000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 40):
0 System Idle Process
4 System
724 C:\WINDOWS\system32\smss.exe
780 csrss.exe
804 C:\WINDOWS\system32\winlogon.exe
852 C:\WINDOWS\system32\services.exe
888 C:\WINDOWS\system32\lsass.exe
1040 C:\WINDOWS\system32\svchost.exe
1120 svchost.exe
1184 C:\WINDOWS\system32\svchost.exe
1300 svchost.exe
1388 svchost.exe
1544 C:\WINDOWS\system32\WLTRYSVC.EXE
1556 C:\WINDOWS\system32\BCMWLTRY.EXE
1608 C:\WINDOWS\system32\spoolsv.exe
1664 C:\Programme\Avira\AntiVir Desktop\sched.exe
1760 svchost.exe
1896 C:\Programme\Avira\AntiVir Desktop\avguard.exe
156 C:\WINDOWS\explorer.exe
200 C:\Programme\Java\jre6\bin\jqs.exe
276 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
296 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
436 C:\Programme\CDBurnerXP\NMSAccessU.exe
528 C:\Programme\CyberLink\Shared files\RichVideo.exe
1452 C:\WINDOWS\system32\WLTRAY.EXE
1464 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1484 C:\WINDOWS\system32\hkcmd.exe
1516 C:\WINDOWS\system32\igfxsrvc.exe
1524 C:\WINDOWS\system32\igfxpers.exe
1816 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1824 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
1872 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1908 C:\Programme\DivX\DivX Update\DivXUpdate.exe
2800 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3040 alg.exe
3684 C:\WINDOWS\system32\ctfmon.exe
1048 C:\Programme\Mozilla Firefox\firefox.exe
1288 C:\Dokumente und Einstellungen\Henry\Eigene Dateien\Downloads\osam.exe
1644 C:\WINDOWS\system32\notepad.exe
3312 C:\Dokumente und Einstellungen\Henry\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000007`52c65e00 (NTFS)

PhysicalDrive0 Model Number: TOSHIBAMK8034GSX, Rev: AH301D

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

henry1 · 24.11.2010, 21:49

Außer dem einen falschen Post vom MBR Check hoffe ich hab ich alles zu deiner Zufriedenheit erfüllt.

cosinus · 24.11.2010, 22:35

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

henry1 · 24.11.2010, 22:40

Wird gemacht. Osram hat diese Datei gefunden und sie rot markiert,
uwkirkow C:\DOKUME~1\Henry\LOKALE~1\Temp\uwkirkow.sys
hört sich komisch an. KAnnst du damit was anfangen?

cosinus · 24.11.2010, 22:48

Zitat:

uwkirkow C:\DOKUME~1\Henry\LOKALE~1\Temp\uwkirkow.sys
hört sich komisch an. KAnnst du damit was anfangen?

Ist von GMER und somit nicht gefährlich, siehr man am Header des GMER-Logs:

GMER 1.0.15.15530 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-24 14:18:50
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 TOSHIBA_MK8034GSX rev.AH301D
Running: 9rlqbf6e.exe; Driver: C:\DOKUME~1\Henry\LOKALE~1\Temp\uwkirkow.sys

24.11.2010, 22:35	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Passwörter funktionieren nicht trojaner gefunden Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

Passwörter funktionieren nicht trojaner gefunden

Log-Analyse und Auswertung: Passwörter funktionieren nicht trojaner gefunden