DR/FakePic.gen Malware, Bilder verschwunden

Flexer · 16.12.2010, 17:48

Admin: Bitte vorherigen Thread von mir löschen, da habe ich wohl nicht meine Hausaufgaben gemacht:
http://www.trojaner-board.de/93815-d...ts-weiter.html

Hallo Ihr,
ich habe wie gesagt, massiven JPG-Verlust durch o.a. Virus, habe ich jetzt ein sauberes System?

MBAM Log:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5323

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.12.2010 16:34:29
mbam-log-2010-12-16 (16-34-29).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 155316
Laufzeit: 3 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

*****************************************************

Defogger Disable Log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:35 on 16/12/2010 (Admin)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

*****************************************************

GMER Log:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-16 16:55:31
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 SAMSUNG_SP2514N rev.VF100-41
Running: gmer.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\pxtdapoc.sys


---- System - GMER 1.0.15 ----

SSDT   F7E390EE                                                                      ZwCreateKey
SSDT   F7E390E4                                                                      ZwCreateThread
SSDT   F7E390F3                                                                      ZwDeleteKey
SSDT   F7E390FD                                                                      ZwDeleteValueKey
SSDT   F7E39102                                                                      ZwLoadKey
SSDT   F7E390D0                                                                      ZwOpenProcess
SSDT   F7E390D5                                                                      ZwOpenThread
SSDT   F7E3910C                                                                      ZwReplaceKey
SSDT   F7E39107                                                                      ZwRestoreKey
SSDT   F7E390F8                                                                      ZwSetValueKey

---- User code sections - GMER 1.0.15 ----

.text  C:\Programme\Mozilla Firefox\firefox.exe[2444] ntdll.dll!LdrLoadDll           7C9263C3 5 Bytes  JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text  C:\Programme\Mozilla Firefox\firefox.exe[2444] kernel32.dll!CreateFileW       7C810800 5 Bytes  JMP 01102150 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\FLVService\lib\FLVSrvLib.dll (FLV Service Library for Ask and Record Toolbar/Applian Technologies, Inc.)
.text  C:\Programme\Mozilla Firefox\firefox.exe[2444] kernel32.dll!GetTempFileNameW  7C8359E7 5 Bytes  JMP 011018E0 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\FLVService\lib\FLVSrvLib.dll (FLV Service Library for Ask and Record Toolbar/Applian Technologies, Inc.)

---- Disk sectors - GMER 1.0.15 ----

Disk   \Device\Harddisk0\DR0                                                         sector 61: malicious code @ sector 0x1d1c4581 size 0x1af

---- EOF - GMER 1.0.15 ----

--- --- ---

*****************************************************

OTL Log:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 16.12.2010 17:06:09 - Run 2
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\All Users\Desktop\MFtools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 698,00 Mb Available Physical Memory | 68,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 22,42 Gb Free Space | 45,91% Space Free | Partition Type: NTFS
Drive D: | 465,75 Gb Total Space | 337,74 Gb Free Space | 72,51% Space Free | Partition Type: NTFS
Drive E: | 79,16 Gb Total Space | 5,46 Gb Free Space | 6,90% Space Free | Partition Type: NTFS
 
Computer Name: DIRK | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2010.12.15 21:06:21 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\All Users\Desktop\MFtools\OTL.exe
PRC - [2010.12.09 19:00:57 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.12.08 22:15:44 | 000,063,360 | ---- | M] (DivX, LLC) -- C:\Programme\DIVX\DivX Plus Web Player\DDMService.exe
PRC - [2010.12.08 20:17:46 | 001,226,608 | ---- | M] () -- C:\Programme\DIVX\DivX Update\DivXUpdate.exe
PRC - [2010.08.02 16:09:38 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.08.02 16:09:32 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2010.01.08 00:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) -- C:\Programme\Application Updater\ApplicationUpdater.exe
PRC - [2009.09.22 21:09:02 | 000,156,672 | ---- | M] (Applian Technologies, Inc.) -- C:\Programme\Replay Media Catcher\FLVSrvc.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.09.29 11:55:14 | 000,057,344 | ---- | M] (Matsushita Electric Industrial Co., Ltd.) -- C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
PRC - [2005.11.11 14:07:00 | 000,090,112 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\soundman.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.12.16 16:27:52 | 000,012,800 | ---- | M] (Applian Technologies, Inc.) -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\FLVService\lib\FLVSrvLib.dll
MOD - [2010.12.15 21:06:21 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\All Users\Desktop\MFtools\OTL.exe
MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
SRV - [2010.12.09 19:00:57 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.20 11:03:54 | 000,068,096 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe -- (Macromedia Licensing Service)
SRV - [2010.08.02 16:09:38 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.01.08 00:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.12.09 19:00:58 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.22 19:02:32 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.17 15:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.14 00:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2008.04.14 00:06:40 | 000,040,960 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\sisagp.sys -- (sisagp)
DRV - [2005.11.22 14:44:00 | 003,804,416 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\alcxwdm.sys -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004.08.03 22:31:36 | 000,032,768 | ---- | M] (SiS Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC)
DRV - [2004.08.03 22:29:56 | 001,897,408 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2001.08.17 14:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
DRV - [2000.07.24 01:01:00 | 000,019,537 | ---- | M] (Brother Industries Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\BrPar.sys -- (BrPar)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\..\URLSearchHook: {7e111a5c-3d11-4f56-9463-5310c3c69025} - C:\Programme\Freeware.de\tbFre0.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll (Spigot, Inc.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu"
FF - prefs.js..browser.startup.homepage: "hxxp://www.web.de/fm"
FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:1.0.1
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.2.1
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: bkmrksync@nokia.com:1.0.0.658
FF - prefs.js..extensions.enabledItems: {c45c406e-ab73-11d8-be73-000a95be3b12}:1.1.6
 
FF - HKLM\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\html5video [2010.12.09 18:10:35 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Programme\DivX\DivX Plus Web Player\firefox\wpa [2010.12.09 18:10:36 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.12 21:49:22 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.12 21:49:22 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Sunbird 1.0b1\extensions\\Components: C:\Programme\Mozilla Sunbird\components [2010.11.15 16:31:53 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Sunbird 1.0b1\extensions\\Plugins: C:\Programme\Mozilla Sunbird\plugins [2010.12.09 18:10:35 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.12.11 22:23:28 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.12.09 18:10:35 | 000,000,000 | ---D | M]
 
[2010.11.15 16:26:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions
[2010.11.14 18:16:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.11.15 16:26:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions\{718e30fb-e89b-41dd-9da7-e25a45638b28}
[2010.11.14 18:16:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions\MediaCoder
[2010.11.14 18:16:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions\MediaCoder-Setup-Wizard
[2010.12.15 22:59:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cyqo2ykd.default\extensions
[2010.11.14 18:22:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cyqo2ykd.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.12.14 12:51:42 | 000,000,000 | ---D | M] (Freeware.de Community Toolbar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cyqo2ykd.default\extensions\{7e111a5c-3d11-4f56-9463-5310c3c69025}
[2010.11.14 18:22:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cyqo2ykd.default\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}
[2010.12.09 23:07:51 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cyqo2ykd.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.11.14 18:22:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cyqo2ykd.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}
[2010.12.14 07:06:22 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cyqo2ykd.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.12.14 12:51:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cyqo2ykd.default\extensions\engine@conduit.com
[2010.11.14 18:19:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\---cyqo2ykd.default\extensions
[2010.11.14 18:17:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\ej2t9k7c.default\extensions
[2010.11.14 18:16:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zolq5tar.default\extensions
[2010.11.14 18:16:29 | 000,000,000 | ---D | M] (Web Developer) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zolq5tar.default\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
[2010.11.14 18:16:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zolq5tar.default\extensions\bkmrksync@nokia.com
[2010.11.14 18:16:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zolq5tar.default\extensions\de-DE@dictionaries.addons.mozilla.org
[2010.11.14 18:16:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zolq5tar.default\extensions\firebug@software.joehewitt.com
[2010.11.15 16:33:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Sunbird\Profiles\j52k675f.default\extensions
[2010.11.15 16:33:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Sunbird\Profiles\zozu9f8w.default\extensions
[2008.02.07 16:37:52 | 000,001,878 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\zolq5tar.default\searchplugins\aolsearch.xml
[2010.12.15 22:59:32 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.11.16 12:45:42 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.09.15 04:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.10.27 06:44:13 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.10.27 06:44:13 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.10.27 06:44:13 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.10.27 06:44:13 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.10.27 06:44:13 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2001.08.18 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DIVX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DIVX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (Freeware.de Toolbar) - {7e111a5c-3d11-4f56-9463-5310c3c69025} - C:\Programme\Freeware.de\tbFre0.dll (Conduit Ltd.)
O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Freeware.de Toolbar) - {7e111a5c-3d11-4f56-9463-5310c3c69025} - C:\Programme\Freeware.de\tbFre0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Freeware.de Toolbar) - {7E111A5C-3D11-4F56-9463-5310C3C69025} - C:\Programme\Freeware.de\tbFre0.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Ask and Record FLV Service] C:\Programme\Replay Media Catcher\FLVSrvc.exe (Applian Technologies, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DivX Download Manager] C:\Programme\DivX\DivX Plus Web Player\DDmService.exe (DivX, LLC)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\Mozilla Sunbird.lnk = C:\Programme\Mozilla Sunbird\sunbird.exe (Mozilla)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LUMIX Simple Viewer.lnk = C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe (Matsushita Electric Industrial Co., Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 253
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1289761714234 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.11.14 15:22:07 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found
NetSvcs: HidServ - C:\WINDOWS\System32\hidserv.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - Services: "ERSvc"
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^OpenOffice.org 3.2.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe - ()
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: MSMSGS - hkey= - key= - C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 2
MsConfig - State: "startup" - 2
 
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: vidc.I420 - C:\WINDOWS\System32\i420vfw.dll (www.helixcommunity.org)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.XVID - C:\WINDOWS\System32\xvidvfw.dll ()
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yv12 - C:\WINDOWS\System32\yv12vfw.dll (www.helixcommunity.org)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902053519425536)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.12.16 13:35:07 | 000,181,688 | ---- | C] (SoftwareNetz) -- C:\WINDOWS\snui.exe
[2010.12.16 13:35:04 | 000,000,000 | ---D | C] -- C:\Softwarenetz
[2010.12.16 13:34:07 | 000,000,000 | ---D | C] -- C:\Programme\Haushaltsbuch2
[2010.12.16 08:35:27 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 4.0
[2010.12.15 21:31:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.12.15 21:31:08 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2010.12.15 21:24:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
[2010.12.15 21:24:37 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.15 21:24:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.12.15 21:24:32 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.15 21:24:31 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.12.15 21:06:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Desktop\MFtools
[2010.12.15 21:05:19 | 000,000,000 | ---D | C] -- C:\Programme\Virenhelfer
[2010.12.15 20:13:52 | 000,000,000 | ---D | C] -- C:\Programme\DigitalImagaRecovery
[2010.12.15 15:58:53 | 000,000,000 | ---D | C] -- C:\Programme\Convar
[2010.12.15 15:58:52 | 000,516,784 | R--- | C] (Xceed Software Inc        (450) 442-2626        support@xceedsoft.com        www.xceedsoft.com) -- C:\WINDOWS\System32\XceedCry.dll
[2010.12.15 15:58:52 | 000,217,088 | ---- | C] (Dart Communications) -- C:\WINDOWS\System32\DartSock.dll
[2010.12.15 15:58:52 | 000,118,784 | ---- | C] (Dart Communications) -- C:\WINDOWS\System32\DartWeb.dll
[2010.12.15 13:24:16 | 000,000,000 | ---D | C] -- C:\Programme\SD-Formatter
[2010.12.15 12:47:17 | 000,090,112 | RHS- | C] (-) -- C:\WINDOWS\System32\TTADSSplitter.ax
[2010.12.15 12:47:17 | 000,090,112 | RHS- | C] (-) -- C:\WINDOWS\System32\TTADSDecoder.ax
[2010.12.15 12:47:16 | 000,278,528 | ---- | C] (Real Networks, Inc) -- C:\WINDOWS\System32\pncrt.dll
[2010.12.15 12:47:16 | 000,216,064 | RHS- | C] (MONOGRAM Multimedia, s.r.o.) -- C:\WINDOWS\System32\nbDX.dll
[2010.12.15 12:47:16 | 000,161,792 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\RealMediaDX.ax
[2010.12.15 12:47:15 | 000,169,472 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\MatroskaDX.ax
[2010.12.15 12:47:15 | 000,163,328 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\flvDX.dll
[2010.12.15 12:47:15 | 000,031,232 | RHS- | C] (Hans Mayerl) -- C:\WINDOWS\System32\msfDX.dll
[2010.12.15 12:47:14 | 000,123,904 | RHS- | C] (CoreCodec) -- C:\WINDOWS\System32\AVCDX.ax
[2010.12.15 12:38:06 | 000,719,872 | ---- | C] (Abysmal Software) -- C:\WINDOWS\System32\devil.dll
[2010.12.15 12:38:06 | 000,369,152 | ---- | C] (The Public) -- C:\WINDOWS\System32\avisynth.dll
[2010.12.15 12:38:02 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\yv12vfw.dll
[2010.12.15 12:38:01 | 000,070,656 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\i420vfw.dll
[2010.12.15 12:37:56 | 000,000,000 | ---D | C] -- C:\Programme\AviSynth 2.5
[2010.12.15 12:37:41 | 000,186,880 | RHS- | C] (RadLight) -- C:\WINDOWS\System32\RLOgg.ax
[2010.12.15 12:37:41 | 000,092,672 | RHS- | C] (RadLight) -- C:\WINDOWS\System32\RLVorbisDec.ax
[2010.12.15 12:37:41 | 000,067,584 | RHS- | C] (RadLight, LLC) -- C:\WINDOWS\System32\RLTheoraDec.ax
[2010.12.15 12:37:40 | 000,179,200 | RHS- | C] (Gabest) -- C:\WINDOWS\System32\DiracSplitter.ax
[2010.12.15 12:36:45 | 000,000,000 | ---D | C] -- C:\Programme\SUPER
[2010.12.15 11:45:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\XMedia Recode
[2010.12.15 11:19:15 | 000,000,000 | ---D | C] -- C:\Programme\Xmedia-Recode
[2010.12.14 16:30:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Search Settings
[2010.12.14 16:30:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dealio
[2010.12.14 16:29:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lingo4u
[2010.12.14 13:28:51 | 000,000,000 | ---D | C] -- C:\.multiTH
[2010.12.14 13:09:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\HamsterSoft
[2010.12.14 12:51:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Freeware.de
[2010.12.14 12:51:28 | 000,000,000 | ---D | C] -- C:\Programme\Conduit
[2010.12.14 12:51:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Conduit
[2010.12.14 12:51:23 | 000,000,000 | ---D | C] -- C:\Programme\ConduitEngine
[2010.12.14 12:51:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\ConduitEngine
[2010.12.14 12:51:20 | 000,000,000 | ---D | C] -- C:\Programme\Freeware.de
[2010.12.14 12:51:06 | 000,139,264 | ---- | C] (hxxp://www.xvid.org) -- C:\WINDOWS\System32\xvid.ax
[2010.12.14 12:27:33 | 000,000,000 | ---D | C] -- C:\Programme\Search Settings
[2010.12.14 12:27:25 | 000,000,000 | ---D | C] -- C:\Programme\Dealio Toolbar
[2010.12.14 12:27:25 | 000,000,000 | ---D | C] -- C:\Programme\Application Updater
[2010.12.14 12:26:51 | 000,000,000 | ---D | C] -- C:\Programme\Free HD Converter
[2010.12.14 12:25:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GetRightToGo
[2010.12.14 12:11:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\AVS4YOU
[2010.12.14 12:10:28 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\AVSMedia
[2010.12.14 12:10:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\umdf
[2010.12.14 12:09:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
[2010.12.14 12:06:09 | 000,000,000 | ---D | C] -- C:\Programme\AVCHD-Converter
[2010.12.14 00:18:28 | 000,000,000 | ---D | C] -- C:\finalburner
[2010.12.14 00:17:14 | 000,000,000 | ---D | C] -- C:\Programme\FinalBurner
[2010.12.13 11:20:02 | 000,000,000 | ---D | C] -- C:\Programme\Image Optimizer
[2010.12.12 17:04:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\EinladungLuc2011
[2010.12.10 20:45:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\SGA
[2010.12.10 18:00:33 | 000,156,672 | ---- | C] (Radioactive) -- C:\WINDOWS\System32\rmc_fixasf.exe
[2010.12.10 18:00:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\My Recordings
[2010.12.10 18:00:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\mdnslib
[2010.12.10 18:00:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Ask and Record Toolbar
[2010.12.10 18:00:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\FLVService
[2010.12.10 18:00:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\Replay Media Catcher
[2010.12.10 18:00:01 | 000,000,000 | ---D | C] -- C:\Programme\Replay Media Catcher
[2010.12.10 17:58:34 | 000,000,000 | ---D | C] -- C:\Programme\MediaCatcher
[2010.12.10 17:49:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Temp
[2010.12.10 17:49:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Google
[2010.12.10 17:48:10 | 000,000,000 | ---D | C] -- C:\Programme\Google
[2010.12.10 15:05:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\dwhelper
[2010.12.09 22:17:36 | 000,000,000 | ---D | C] -- C:\Oscommerce
[2010.12.09 22:17:36 | 000,000,000 | ---D | C] -- C:\Joomla
[2010.12.09 22:17:36 | 000,000,000 | ---D | C] -- C:\CarSales
[2010.12.09 22:17:36 | 000,000,000 | ---D | C] -- C:\AGO
[2010.12.09 21:26:32 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Admin\PrivacIE
[2010.12.09 18:10:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Videos
[2010.12.09 18:10:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Local
[2010.12.09 18:10:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\DivX
[2010.12.09 18:10:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\DivX Movies
[2010.12.09 18:09:38 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DivX Shared
[2010.12.09 18:08:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DivX
[2010.12.09 18:07:45 | 000,000,000 | ---D | C] -- C:\Programme\DIVX
[2010.12.08 18:01:03 | 000,000,000 | ---D | C] -- C:\Programme\KanalManager
[2010.12.06 19:33:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump
[2010.12.06 19:26:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Leadertech
[2010.12.01 21:38:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\vlc
[2010.11.20 11:16:31 | 000,000,000 | ---D | C] -- C:\Programme\Dreamweaver MX
[2010.11.20 11:03:54 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Macromedia Shared
[2010.11.20 11:03:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
[2010.11.20 11:00:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Application Data
[2010.11.19 09:49:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun
[2010.11.19 09:21:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\My Safes
[2010.11.19 09:20:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\PasswordSafe
[2010.11.19 09:18:55 | 000,000,000 | ---D | C] -- C:\Programme\Password Safe
[2010.11.17 18:08:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Panasonic
[2010.11.17 18:07:20 | 000,000,000 | ---D | C] -- C:\Programme\Panasonic
[2010.11.17 18:07:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\InstallShield
 
========== Files - Modified Within 30 Days ==========
 
[2010.12.16 16:54:00 | 000,001,208 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1292428093-179605362-839522115-1004UA.job
[2010.12.16 16:29:42 | 000,000,591 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\NTREGOPT.lnk
[2010.12.16 16:29:42 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\ERUNT.lnk
[2010.12.16 16:27:43 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.12.16 16:27:42 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2010.12.16 10:35:19 | 000,000,147 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\DRFakePic.gen - Alles abgarbeitet hier jetzt das defogger_disable wie gehts weiter - Trojaner-Board.URL
[2010.12.15 21:40:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\defogger_reenable
[2010.12.15 21:24:37 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.15 21:06:07 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\defogger.exe
[2010.12.15 21:06:05 | 000,288,107 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Gmer.zip
[2010.12.15 20:14:53 | 000,000,699 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Zero Assumption Recovery.lnk
[2010.12.15 18:14:05 | 000,000,154 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\noautoplay.reg
[2010.12.15 17:54:00 | 000,001,156 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1292428093-179605362-839522115-1004Core.job
[2010.12.15 15:28:58 | 000,035,840 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.15 15:20:38 | 000,134,072 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.12.15 14:38:58 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.12.14 17:09:55 | 000,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Wolfgang Borchert+ Inhaltsangabe das Brot.doc
[2010.12.14 12:10:23 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2010.12.13 00:25:09 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\winscp.rnd
[2010.12.11 12:40:31 | 000,237,568 | ---- | M] () -- C:\WINDOWS\System32\rmc_rtspdl.dll
[2010.12.11 12:40:31 | 000,156,672 | ---- | M] (Radioactive) -- C:\WINDOWS\System32\rmc_fixasf.exe
[2010.12.09 19:00:58 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.12.08 14:19:17 | 000,000,137 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Samsung C-Serie Sendersortierung – Kanalmanager (z.B. UE46C770 , UE46C6820 , LE40C650 , LE40C750 ) Robin's Blog.URL
[2010.12.08 14:18:19 | 000,000,120 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Samsung LE37C650 - verschiedene Fragen (Senderbelegung) - Forum - AUDIO VIDEO FOTO BILD.URL
[2010.12.08 14:16:44 | 000,000,080 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Samsung Sendersortierung (Plasma, LCD, LED LCD – Model “C” 2010) Christine & Sven.URL
[2010.12.08 12:02:06 | 000,000,063 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Meine eBay Welt - alte-schinken.URL
[2010.12.07 19:13:00 | 000,000,155 | ---- | M] () -- C:\WINDOWS\Brownie.ini
[2010.12.05 19:58:36 | 000,000,354 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Dateien(E).lnk
[2010.12.01 15:33:51 | 000,000,070 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\2246-Lions Club Ammerland Kalender.URL
[2010.11.29 17:42:18 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.11.29 17:42:06 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.11.23 12:56:56 | 000,181,688 | ---- | M] (SoftwareNetz) -- C:\WINDOWS\snui.exe
[2010.11.22 19:02:32 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.11.17 18:07:20 | 000,000,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LUMIX Simple Viewer.lnk
[2010.11.16 22:01:04 | 000,316,594 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.11.16 22:01:04 | 000,311,604 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.11.16 22:01:04 | 000,048,156 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.11.16 22:01:04 | 000,039,992 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
 
========== Files Created - No Company Name ==========
 
[2010.12.16 10:35:19 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\DRFakePic.gen - Alles abgarbeitet hier jetzt das defogger_disable wie gehts weiter - Trojaner-Board.URL
[2010.12.15 21:41:33 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\gmer.exe
[2010.12.15 21:40:57 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\defogger_reenable
[2010.12.15 21:31:08 | 000,000,591 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\NTREGOPT.lnk
[2010.12.15 21:31:08 | 000,000,572 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\ERUNT.lnk
[2010.12.15 21:24:37 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.15 21:06:07 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\defogger.exe
[2010.12.15 21:06:05 | 000,288,107 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Gmer.zip
[2010.12.15 20:14:53 | 000,000,699 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Zero Assumption Recovery.lnk
[2010.12.15 18:14:04 | 000,000,154 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\noautoplay.reg
[2010.12.15 15:58:52 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll
[2010.12.15 15:58:52 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\DartWeb.oca
[2010.12.15 15:47:32 | 1073,274,880 | -HS- | C] () -- C:\hiberfil.sys
[2010.12.15 12:47:16 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\RLMPCDec.ax
[2010.12.15 12:47:16 | 000,070,656 | RHS- | C] () -- C:\WINDOWS\System32\RLAPEDec.ax
[2010.12.15 12:47:15 | 000,120,832 | RHS- | C] () -- C:\WINDOWS\System32\MPCDx.ax
[2010.12.15 12:47:15 | 000,097,280 | RHS- | C] () -- C:\WINDOWS\System32\FLACDX.ax
[2010.12.15 12:47:14 | 000,227,328 | RHS- | C] () -- C:\WINDOWS\System32\ac3DX.ax
[2010.12.15 12:38:06 | 000,408,576 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll
[2010.12.15 12:38:02 | 000,066,560 | ---- | C] () -- C:\WINDOWS\MOTA113.exe
[2010.12.15 12:38:02 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2010.12.15 12:38:01 | 000,502,784 | ---- | C] () -- C:\WINDOWS\x2.64.exe
[2010.12.15 12:38:01 | 000,240,128 | ---- | C] () -- C:\WINDOWS\System32\x.264.exe
[2010.12.15 12:38:01 | 000,217,073 | ---- | C] () -- C:\WINDOWS\meta4.exe
[2010.12.15 12:37:41 | 000,051,712 | RHS- | C] () -- C:\WINDOWS\System32\RLSpeexDec.ax
[2010.12.15 12:37:40 | 000,175,104 | RHS- | C] () -- C:\WINDOWS\System32\CoreAAC.ax
[2010.12.15 12:37:40 | 000,081,920 | RHS- | C] () -- C:\WINDOWS\System32\aac_parser.ax
[2010.12.14 17:09:55 | 000,022,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Wolfgang Borchert+ Inhaltsangabe das Brot.doc
[2010.12.14 12:51:06 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2010.12.14 12:51:05 | 000,758,018 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2010.12.10 18:00:33 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\rmc_rtspdl.dll
[2010.12.10 17:49:36 | 000,001,208 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1292428093-179605362-839522115-1004UA.job
[2010.12.10 17:49:35 | 000,001,156 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1292428093-179605362-839522115-1004Core.job
[2010.12.08 14:19:17 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Samsung C-Serie Sendersortierung – Kanalmanager (z.B. UE46C770 , UE46C6820 , LE40C650 , LE40C750 ) Robin's Blog.URL
[2010.12.08 14:18:19 | 000,000,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Samsung LE37C650 - verschiedene Fragen (Senderbelegung) - Forum - AUDIO VIDEO FOTO BILD.URL
[2010.12.08 14:16:44 | 000,000,080 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Samsung Sendersortierung (Plasma, LCD, LED LCD – Model “C” 2010) Christine & Sven.URL
[2010.12.08 12:02:06 | 000,000,063 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Meine eBay Welt - alte-schinken.URL
[2010.12.01 15:33:51 | 000,000,070 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\2246-Lions Club Ammerland Kalender.URL
[2010.11.17 18:08:12 | 000,111,932 | ---- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat
[2010.11.17 18:08:12 | 000,031,053 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern131.dat
[2010.11.17 18:08:12 | 000,027,417 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern121.dat
[2010.11.17 18:08:12 | 000,026,154 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat
[2010.11.17 18:08:12 | 000,024,903 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat
[2010.11.17 18:08:12 | 000,021,390 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat
[2010.11.17 18:08:12 | 000,020,148 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat
[2010.11.17 18:08:12 | 000,013,732 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_EN.cfg
[2010.11.17 18:08:12 | 000,011,811 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat
[2010.11.17 18:08:12 | 000,006,442 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_IT.cfg
[2010.11.17 18:08:12 | 000,006,347 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_PT.cfg
[2010.11.17 18:08:12 | 000,006,347 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_BP.cfg
[2010.11.17 18:08:12 | 000,006,335 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_GE.cfg
[2010.11.17 18:08:12 | 000,006,195 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_FR.cfg
[2010.11.17 18:08:12 | 000,006,195 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_CF.cfg
[2010.11.17 18:08:12 | 000,006,122 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_DU.cfg
[2010.11.17 18:08:12 | 000,006,103 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_ES.cfg
[2010.11.17 18:08:12 | 000,005,817 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_KO.cfg
[2010.11.17 18:08:12 | 000,005,436 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_SC.cfg
[2010.11.17 18:08:12 | 000,004,943 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat
[2010.11.17 18:08:12 | 000,002,889 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_RU.cfg
[2010.11.17 18:08:12 | 000,002,426 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_TC.cfg
[2010.11.17 18:08:12 | 000,001,146 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat
[2010.11.17 18:08:12 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat
[2010.11.17 18:08:12 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat
[2010.11.17 18:08:12 | 000,001,136 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat
[2010.11.17 18:08:12 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat
[2010.11.17 18:08:12 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat
[2010.11.17 18:08:12 | 000,001,120 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat
[2010.11.17 18:08:12 | 000,001,107 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat
[2010.11.17 18:08:12 | 000,001,104 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat
[2010.11.17 18:08:12 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2010.11.17 18:07:20 | 000,000,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LUMIX Simple Viewer.lnk
[2010.11.16 09:38:27 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\winscp.rnd
[2010.11.15 17:50:47 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL
[2010.11.15 17:33:24 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.11.15 16:59:45 | 000,035,840 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.15 16:44:17 | 000,000,155 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2010.11.15 16:44:17 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2010.11.15 16:44:17 | 000,000,040 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI
[2010.11.15 16:44:11 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\BROSNMP.DLL
[2010.11.15 16:44:11 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC32.DLL
[2010.11.15 16:44:11 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC16.DLL
[2010.11.15 16:44:09 | 000,008,975 | ---- | C] () -- C:\WINDOWS\HL-2030.INI
[2010.11.15 16:43:06 | 000,000,416 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2010.11.14 21:08:02 | 000,157,184 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2010.11.14 15:15:15 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2001.08.18 13:00:00 | 000,249,270 | ---- | C] () -- C:\WINDOWS\System32\_005195_.tmp.dll
[2001.08.18 13:00:00 | 000,022,040 | ---- | C] () -- C:\WINDOWS\System32\_005163_.tmp.dll
 
========== LOP Check ==========
 
[2010.12.14 16:30:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dealio
[2010.12.14 22:41:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GetRightToGo
[2010.12.14 13:09:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\HamsterSoft
[2010.12.06 19:26:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Leadertech
[2010.12.14 16:29:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lingo4u
[2010.12.09 18:10:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Local
[2010.11.16 10:27:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OpenOffice.org
[2010.11.17 18:08:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Panasonic
[2010.12.14 16:30:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Search Settings
[2010.11.14 18:26:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Thunderbird
[2010.12.15 11:45:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\XMedia Recode
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2010.11.14 15:22:07 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2010.11.16 11:15:29 | 000,000,211 | RHS- | M] () -- C:\boot.ini
[2001.08.18 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2010.11.14 15:22:07 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2010.12.16 16:27:42 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2010.11.14 15:22:07 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2010.11.14 15:22:07 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2010.11.14 16:28:07 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2010.11.14 19:57:48 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.12.16 16:27:41 | 1610,612,736 | -HS- | M] () -- C:\pagefile.sys
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2010.11.14 15:21:50 | 000,000,067 | ---- | M] () -- C:\WINDOWS\Fonts\desktop.ini
[6 C:\WINDOWS\Fonts\*.tmp files -> C:\WINDOWS\Fonts\*.tmp -> ]
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2010.11.14 16:13:33 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2010.11.14 16:13:33 | 000,610,304 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2010.11.14 16:13:33 | 000,417,792 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 07:52:34 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 07:52:34 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
 
 
< MD5 for: EXPLORER.EXE  >
[2004.08.04 00:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 00:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-12-16 07:35:29

< End of report >

--- --- ---

*****************************************************

Extras:
OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 16.12.2010 16:58:03 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\All Users\Desktop\MFtools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 638,00 Mb Available Physical Memory | 62,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 22,42 Gb Free Space | 45,91% Space Free | Partition Type: NTFS
Drive D: | 465,75 Gb Total Space | 337,74 Gb Free Space | 72,51% Space Free | Partition Type: NTFS
Drive E: | 79,16 Gb Total Space | 5,46 Gb Free Space | 6,90% Space Free | Partition Type: NTFS
 
Computer Name: DIRK | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\WinSCP\WinSCP.exe" = C:\Programme\WinSCP\WinSCP.exe:*:Enabled:SFTP, FTP and SCP client -- (Martin Prikryl)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1A3E23D7-7A1E-43EC-B35D-EB8A31BED943}" = FinalBurner Free v2.9.0.151
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 22
"{2CDCCE7E-55D5-40CC-AEA0-ABA54713501F}" = LUMIX Simple Viewer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3E885908-C639-4AD0-9FFD-4E623EE08E8B}" = Brother HL-2030
"{3F9FB449-93DB-4C47-BB5B-7334C4D1736E}" = SD Formatter
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5F05C28D-DEA9-4AD6-A73A-064175988EAB}" = Search Settings v1.2.3
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.1 - Deutsch
"{C878CD69-85DB-426B-81A3-E71175AAEB91}" = Dealio Toolbar v4.0.2
"{C9A87D86-FDFD-418B-BF96-EF09320973B3}" = PC Inspector smart recovery
"{DFFC0648-BC4B-47D1-93D2-6CA6B9457641}" = OpenOffice.org 3.2
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Illustrator 8.0" = Adobe Illustrator 8.0
"Adobe Photoshop 7.0" = Adobe Photoshop 7.0
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMFBox" = AVM FRITZ!Box Dokumentation
"AVMFBoxPrinter" = AVM FRITZ!Box Druckeranschluss
"conduitEngine" = Conduit Engine
"DivX Setup.divx.com" = DivX-Setup
"ERUNT_is1" = ERUNT 1.1j
"Freeware.de Toolbar" = Freeware.de Toolbar
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)
"Password Safe" = Password Safe
"Replay Media Catcher 3.11" = Replay Media Catcher 3.11
"SUPER ©" = SUPER © Version 2010.bld.42 (Nov 7, 2010)
"VLC media player" = VLC media player 1.1.5
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"winscp3_is1" = WinSCP 4.1.8
"WMFDist11" = Windows Media Format 11 runtime
"XMedia Recode" = XMedia Recode 2.2.9.3
"Zero Assumption Recovery_is1" = Zero Assumption Recovery Version 9
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 11.12.2010 10:21:47 | Computer Name = DIRK | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x05289290.
 
Error - 11.12.2010 14:35:32 | Computer Name = DIRK | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x05769290.
 
Error - 14.12.2010 06:11:15 | Computer Name = DIRK | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x03a49290.
 
Error - 14.12.2010 17:42:43 | Computer Name = DIRK | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung tsmuxer.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul tsmuxer.exe, Version 0.0.0.0, Fehleradresse 0x0006708b.
 
Error - 14.12.2010 17:42:55 | Computer Name = DIRK | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung tsmuxer.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul tsmuxer.exe, Version 0.0.0.0, Fehleradresse 0x0006708b.
 
Error - 14.12.2010 17:43:12 | Computer Name = DIRK | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung tsmuxer.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul tsmuxer.exe, Version 0.0.0.0, Fehleradresse 0x0006708b.
 
[ System Events ]
Error - 20.11.2010 07:07:17 | Computer Name = DIRK | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 20.11.2010 07:07:17 | Computer Name = DIRK | Source = VolSnap | ID = 393230
Description = Die Schattenkopie von Volume "C:" wurde aufgrund eines E/A-Fehlers
 abgebrochen.
 
 
< End of report >

--- --- ---

Gruß,

Dirk

Swisstreasure · 16.12.2010, 19:04

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Programme deinstallieren

Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Software komplett zu deinstallieren.

Code:

ATTFilter

Search Settings
Dealio Toolbar
Application Updater

Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.

Schritt 2

Fixen mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

:OTL
PRC - [2010.01.08 00:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) -- C:\Programme\Application Updater\ApplicationUpdater.exe
SRV - [2010.01.08 00:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater)
IE - HKCU\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll (Spigot, Inc.)
O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll (Spigot, Inc.)
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe (Spigot, Inc.)
[2010.12.14 16:30:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Search Settings
[2010.12.14 12:27:33 | 000,000,000 | ---D | C] -- C:\Programme\Search Settings
[2010.12.14 12:27:25 | 000,000,000 | ---D | C] -- C:\Programme\Dealio Toolbar
[2010.12.14 12:27:25 | 000,000,000 | ---D | C] -- C:\Programme\Application Updater
[2010.12.14 16:30:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Search Settings
[2010.12.14 16:30:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dealio
[2010.11.20 11:00:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Application Data
:Commands
[purity]
[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.

Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
Code:
ATTFilter
```
mbr.exe -t > C:\mbr.log & C:\mbr.log
         
```
(Enter drücken)
Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.

Schritt 4

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Flexer · 16.12.2010, 19:57

Hallo Swisstreasure,

Danke für deine Mühe, jetzt gehts endlich weiter.
Ich hoffe, dass ich alles so gemacht habe, wie du es beschrieben hast, sollte baber geklappt haben.

Hier das OTL-LOG:

All processes killed
========== OTL ==========
No active process named ApplicationUpdater.exe was found!
Error: No service named Application Updater was found to stop!
Service\Driver key Application Updater not found.
File C:\Programme\Application Updater\ApplicationUpdater.exe not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
File C:\Programme\Search Settings\SearchSettings.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
File C:\Programme\Search Settings\SearchSettings.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings not found.
File C:\Programme\Search Settings\SearchSettings.exe not found.
Folder C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Search Settings\ not found.
Folder C:\Programme\Search Settings\ not found.
Folder C:\Programme\Dealio Toolbar\ not found.
Folder C:\Programme\Application Updater\ not found.
Folder C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Search Settings\ not found.
Folder C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dealio\ not found.
C:\Dokumente und Einstellungen\Admin\Application Data\Microsoft\Forms folder moved successfully.
C:\Dokumente und Einstellungen\Admin\Application Data\Microsoft folder moved successfully.
C:\Dokumente und Einstellungen\Admin\Application Data folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 90822 bytes
->Temporary Internet Files folder emptied: 160640 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 47066655 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Schorse
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Schorse.DIRK
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 147 bytes

Total Files Cleaned = 45,00 mb

OTL by OldTimer - Version 3.2.17.3 log created on 12162010_194001

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Perflib_Perfdata_2cc.dat not found!

Registry entries deleted on Reboot...

******************************************

MBR- LOG:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP2514N rev.VF100-41 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x867CBAB8]
3 CLASSPNP[0xF789EFD7] -> nt!IofCallDriver[0x804E37D5] -> \Device\00000057[0x867D6F18]
5 ACPI[0xF77E4620] -> nt!IofCallDriver[0x804E37D5] -> \Device\Ide\IdeDeviceP0T0L0-4[0x867D0D98]
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c4581 size 0x1af !

******************************************

MBAM-LOG:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5328

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.12.2010 19:49:49
mbam-log-2010-12-16 (19-49-49).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152548
Laufzeit: 2 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Danke vorab für deine Mühe,

Dirk

Swisstreasure · 16.12.2010, 20:10

Schritt 1

Bei Dir scheint sich etwas im Master Boot Record festgesetzt zu haben, wie das obige Ergebnis zeigt. Du hast jetzt zwei Möglichkeiten, den Master Boot Record (MBR) wieder in Ordnung zu bringen, die erste zeigt Dir auf, wie Du das mit Windows eigenen Mitteln machen kannst, die zweite, wie es mit dem Tool mbr.exe zu machen ist.

MBR wiederherstellen

Entweder so:

Lege die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk ein und starte den Computer neu.
Bootet der Computer nicht von CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.
Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.
Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
Nun gebe folgenden Befehl ein:
fixmbr

oder so:

Kopiere die Datei mbr.exe nach C:\Windows\system32
Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich ein Dosfenster
bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken)
und ggfs. den Anweisungen folgen.

Schritt 2

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

Flexer · 16.12.2010, 20:45

Hallo Swiss,

das DOS Fenster hat sich nicht mit "DONE" gemeldet, sondern so mit dem Hinweis "Y" or "N" for more options. Bei "Y" gab er 3 Möglicjkeiten weiterzumachen:

1 Dump the MBR of a physical disk to file.
2 Restore the MBR of a physical disk with a standard boot code
3 Exit

Hier das Logfile von MBR:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000007fc

Kernel Drivers (total 120):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7D2E000 \WINDOWS\system32\KDCOM.DLL
0xF7C3E000 \WINDOWS\system32\BOOTVID.dll
0xF77DE000 ACPI.sys
0xF7D30000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF77CD000 pci.sys
0xF782E000 isapnp.sys
0xF783E000 ohci1394.sys
0xF784E000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7DF6000 pciide.sys
0xF7AAE000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF785E000 MountMgr.sys
0xF77AE000 ftdisk.sys
0xF7AB6000 PartMgr.sys
0xF786E000 VolSnap.sys
0xF7796000 atapi.sys
0xF787E000 aic78xx.sys
0xF777E000 \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
0xF788E000 disk.sys
0xF789E000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF775E000 fltmgr.sys
0xF774C000 sr.sys
0xF78AE000 PxHelp20.sys
0xF7735000 KSecDD.sys
0xF76A8000 Ntfs.sys
0xF767B000 NDIS.sys
0xF78BE000 sisagp.sys
0xF7661000 Mup.sys
0xF7A1E000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xF6DEF000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xF6DDB000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF7A2E000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xF7A3E000 \SystemRoot\System32\Drivers\Imapi.SYS
0xF7A4E000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF7A5E000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF6DB8000 \SystemRoot\System32\DRIVERS\ks.sys
0xF6A17000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF69F3000 \SystemRoot\system32\drivers\portcls.sys
0xF7A6E000 \SystemRoot\system32\drivers\drmk.sys
0xF7B6E000 \SystemRoot\System32\DRIVERS\usbohci.sys
0xF69CF000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7B76000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7B7E000 \SystemRoot\System32\DRIVERS\sisnic.sys
0xF7B86000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF7A7E000 \SystemRoot\System32\DRIVERS\serial.sys
0xF7CF6000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF699A000 \SystemRoot\System32\DRIVERS\parport.sys
0xF7A8E000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF7B8E000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF7CFA000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xF7F64000 \SystemRoot\system32\drivers\msmpu401.sys
0xF7F65000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF7A9E000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF7CFE000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF6983000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF78EE000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF704F000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF7B96000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF6972000 \SystemRoot\System32\DRIVERS\psched.sys
0xF703F000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF7B9E000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF7BA6000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF701F000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7BAE000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF7D54000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF5C54000 \SystemRoot\System32\DRIVERS\update.sys
0xF7D0E000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF700F000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF6FFF000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF7D5A000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF7D5C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E3D000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D5E000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7BC6000 \SystemRoot\System32\drivers\vga.sys
0xF7D60000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D62000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7BCE000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7BD6000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF755E000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xF4AD1000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xF4A78000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xF4A50000 \SystemRoot\System32\DRIVERS\netbt.sys
0xF4A2E000 \SystemRoot\System32\drivers\afd.sys
0xF6FDF000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF7BDE000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF4A03000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xF4993000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF6FBF000 \SystemRoot\System32\Drivers\Fips.SYS
0xF496D000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF78FE000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF790E000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xF48A7000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D66000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF7BE6000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
0xF7CE6000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xF793E000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xF7BEE000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xF7CEA000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xF794E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF4867000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D6E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF4B34000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BF6000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7EF9000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xF353A000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF3563000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xF2ADD000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF2278000 \SystemRoot\system32\drivers\wdmaud.sys
0xF48ED000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7B46000 \SystemRoot\System32\drivers\BrPar.sys
0xF7D90000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF1F2A000 \SystemRoot\System32\DRIVERS\srv.sys
0xF1C69000 \SystemRoot\System32\Drivers\HTTP.sys
0xF7C36000 \??\C:\DOKUME~1\Admin\LOKALE~1\Temp\mbr.sys
0xF0996000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 33):
0 System Idle Process
4 System
452 C:\WINDOWS\system32\smss.exe
516 csrss.exe
540 C:\WINDOWS\system32\winlogon.exe
584 C:\WINDOWS\system32\services.exe
596 C:\WINDOWS\system32\lsass.exe
768 C:\WINDOWS\system32\svchost.exe
816 svchost.exe
884 C:\WINDOWS\system32\svchost.exe
936 svchost.exe
1060 svchost.exe
1184 C:\WINDOWS\system32\spoolsv.exe
1232 C:\Programme\Avira\AntiVir Desktop\sched.exe
1296 svchost.exe
1492 C:\WINDOWS\explorer.exe
1636 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1644 C:\WINDOWS\soundman.exe
1652 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1668 C:\Programme\DIVX\DivX Update\DivXUpdate.exe
1676 C:\Programme\DIVX\DivX Plus Web Player\DDMService.exe
1688 C:\Programme\Replay Media Catcher\FLVSrvc.exe
1696 C:\WINDOWS\system32\ctfmon.exe
1728 C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
1968 C:\Programme\Avira\AntiVir Desktop\avguard.exe
2000 C:\Programme\Java\jre6\bin\jqs.exe
256 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2252 alg.exe
3112 C:\Programme\Mozilla Firefox\firefox.exe
3464 C:\Programme\Image Optimizer\Image Optimizer\Optimizer.exe
3720 C:\Programme\Image Optimizer\Image Optimizer\Optimizer.exe
3624 C:\WINDOWS\system32\cmd.exe
2632 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x0000000c`34f34a00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2514N, Rev: VF100-41
PhysicalDrive1 Model Number: ST3500830ACE, Rev: 3.ACD

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
465 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: 88F5AFF1684AD7C98885B21F01192A0ED68C1A3D

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice:

Danke für deine weitere Mühe,

Dirk

Swisstreasure · 16.12.2010, 22:44

Hast Du Schritt 1 gemacht?

Flexer · 16.12.2010, 22:55

Hm....

Wenn du fragst, dann gehe ich davon aus, dass ich auch bei MBR Wiederherstellen unter "oder so:" von der Boot CD hätte starten müssen?
Oder doch nicht? Jetzt weiß ich nicht recht, was ich machen soll....

Dirk

Swisstreasure · 16.12.2010, 22:57

Entweder so oder so

beides möglich

Flexer · 16.12.2010, 23:02

OK, dann mach ich das mal wie bei "Entweder"....

Flexer · 16.12.2010, 23:26

Hm... ich habe für nur eine Sekunde die Option "von CD starten mit beliebiger Taste" und dann geht er von allein weiter.
Wenn ich aufpasse, und in diesem Moment eine Taste drücke, habe ich danach trotzdem nur die Option mit "c:" weiterzu gehen.
Ich müsste dann dort eine "1" eingeben, um mit "C:" weiter zu machen.
Muss ich dann "C" wählen?

Dirk

Flexer · 16.12.2010, 23:37

Im BIOS ist das DVD Laufwerk als first boot-device eingetragen

Dirk

Flexer · 17.12.2010, 09:39

Hallo Swiss,

Ich habe es geschafft, au "C" den MBR zu fixen.
Hat aber ne komplette Reparatur von SP1 bis SP3 nach sich gezogen, ist aber alles noch da, so wie es aussieht.

Hier der Log:

***********************************************************

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000007fc

Kernel Drivers (total 118):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EE000 \WINDOWS\system32\hal.dll
0xF7D2E000 \WINDOWS\system32\KDCOM.DLL
0xF7C3E000 \WINDOWS\system32\BOOTVID.dll
0xF77DE000 ACPI.sys
0xF7D30000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF77CD000 pci.sys
0xF782E000 isapnp.sys
0xF783E000 ohci1394.sys
0xF784E000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7DF6000 pciide.sys
0xF7AAE000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF785E000 MountMgr.sys
0xF77AE000 ftdisk.sys
0xF7AB6000 PartMgr.sys
0xF786E000 VolSnap.sys
0xF7796000 atapi.sys
0xF787E000 aic78xx.sys
0xF777E000 \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
0xF788E000 disk.sys
0xF789E000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF775E000 fltmgr.sys
0xF774C000 sr.sys
0xF78AE000 PxHelp20.sys
0xF7735000 KSecDD.sys
0xF76A8000 Ntfs.sys
0xF767B000 NDIS.sys
0xF78BE000 sisagp.sys
0xF7661000 Mup.sys
0xF796E000 \SystemRoot\System32\DRIVERS\processr.sys
0xF710C000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xF70F8000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF797E000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xF798E000 \SystemRoot\System32\Drivers\Imapi.SYS
0xF799E000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF79AE000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF70D5000 \SystemRoot\System32\DRIVERS\ks.sys
0xF6D34000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF6D10000 \SystemRoot\system32\drivers\portcls.sys
0xF79BE000 \SystemRoot\system32\drivers\drmk.sys
0xF7B2E000 \SystemRoot\System32\DRIVERS\usbohci.sys
0xF6CEC000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF7B3E000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7B46000 \SystemRoot\System32\DRIVERS\sisnic.sys
0xF7B4E000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF79CE000 \SystemRoot\System32\DRIVERS\serial.sys
0xF7CD2000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF6CD8000 \SystemRoot\System32\DRIVERS\parport.sys
0xF79DE000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF7B56000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF7CD6000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xF7F1D000 \SystemRoot\system32\drivers\msmpu401.sys
0xF7F1E000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF79EE000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF7CDA000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF6C21000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF79FE000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF7A0E000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF7B5E000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF6C10000 \SystemRoot\System32\DRIVERS\psched.sys
0xF7A1E000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF7B66000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF7B6E000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF7A2E000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF7B76000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF7D48000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF6B91000 \SystemRoot\System32\DRIVERS\update.sys
0xF7CEA000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF7A3E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7A4E000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF7D4E000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF7D50000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E1D000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D52000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7B96000 \SystemRoot\System32\drivers\vga.sys
0xF7D54000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D56000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7B9E000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7BA6000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7D1A000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xF5A36000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xF59DD000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xF59B5000 \SystemRoot\System32\DRIVERS\netbt.sys
0xF5993000 \SystemRoot\System32\drivers\afd.sys
0xF7A6E000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF7BAE000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF5968000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xF58D0000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF7A8E000 \SystemRoot\System32\Drivers\Fips.SYS
0xF58AA000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF7A9E000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF78EE000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xF7BC6000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
0xF57E4000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D5A000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF72EC000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xF78FE000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xF7BD6000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xF72E8000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xF791E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF57CC000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D68000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7CC6000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BEE000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7E73000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xF4477000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF44A8000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xF39F2000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF3115000 \SystemRoot\system32\drivers\wdmaud.sys
0xF4514000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7C1E000 \SystemRoot\System32\drivers\BrPar.sys
0xF7DE6000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF2E95000 \SystemRoot\System32\DRIVERS\srv.sys
0xF22B9000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 36):
0 System Idle Process
4 System
460 C:\WINDOWS\system32\smss.exe
520 csrss.exe
544 C:\WINDOWS\system32\winlogon.exe
588 C:\WINDOWS\system32\services.exe
600 C:\WINDOWS\system32\lsass.exe
764 C:\WINDOWS\system32\svchost.exe
824 svchost.exe
892 C:\WINDOWS\system32\svchost.exe
944 svchost.exe
1064 svchost.exe
1184 C:\WINDOWS\system32\spoolsv.exe
1232 C:\Programme\Avira\AntiVir Desktop\sched.exe
1296 svchost.exe
1492 C:\WINDOWS\explorer.exe
1620 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1628 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1636 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
1648 C:\Programme\DIVX\DivX Update\DivXUpdate.exe
1656 C:\Programme\DIVX\DivX Plus Web Player\DDMService.exe
1664 C:\Programme\Replay Media Catcher\FLVSrvc.exe
1672 C:\WINDOWS\soundman.exe
1680 C:\WINDOWS\system32\ctfmon.exe
1700 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
1732 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1744 C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
1804 C:\Programme\Java\jre6\bin\jqs.exe
2004 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2252 alg.exe
3204 C:\Programme\Mozilla Firefox\firefox.exe
2276 C:\WINDOWS\system32\vssvc.exe
2412 C:\WINDOWS\system32\dllhost.exe
2112 C:\WINDOWS\system32\dllhost.exe
1840 msdtc.exe
3952 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x0000000c`34f34a00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2514N, Rev: VF100-41
PhysicalDrive1 Model Number: ST3500830ACE, Rev: 3.ACD

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
465 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: 88F5AFF1684AD7C98885B21F01192A0ED68C1A3D

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

****************************************************

Danke soweit und Gruß,

Dirk

Flexer · 17.12.2010, 09:59

HM... ich habe immer noch folgenden Bootvirus:

Meine Partitionen sind:

Eine Platte mit C und E,
eine Platte mit D

Auf C und E und D meldet Avira den Virus Boo/Sinowal.A bei HD5.... was immer das bedeutet...

Gruß,

Dirk

Swisstreasure · 17.12.2010, 23:28

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Flexer · 18.12.2010, 13:19

Hier Der Log, anzumerken wäre noch, dass ich jetzt ein IE-Icon auf dem Desktophabe, das nur eine Verknüpfung auf dem Desktop bildet, satt den IE zu starten.
Starte ich meinen vorher installierten IE, fehlt ihm eine DLL Datei.

Hier der Log:

**************************************************

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-16.05 - Admin 18.12.2010  13:00:50.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.731 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Admin\Anwendungsdaten\Local
c:\dokumente und einstellungen\Admin\Anwendungsdaten\Local\Temp\DDM\Settings\0.ddi
c:\dokumente und einstellungen\Admin\Anwendungsdaten\Local\Temp\DDM\Settings\1.ddi
c:\dokumente und einstellungen\Admin\Anwendungsdaten\Local\Temp\DDM\Settings\864c5ccc5cc9c13b4db6776b437545de.avi.ddr
c:\dokumente und einstellungen\Admin\Anwendungsdaten\Local\Temp\DDM\Settings\divx8postinstall_de.divx.ddr
c:\dokumente und einstellungen\Admin\Anwendungsdaten\Local\Temp\DDM\Settings\settings.ddi
c:\dokumente und einstellungen\Admin\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\864c5ccc5cc9c13b4db6776b437545de.avi.ddp
c:\dokumente und einstellungen\Admin\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\divx8postinstall_de.divx.ddp
c:\windows\system32\_005152_.tmp.dll
c:\windows\system32\_005153_.tmp.dll
c:\windows\system32\_005154_.tmp.dll
c:\windows\system32\_005155_.tmp.dll
c:\windows\system32\_005162_.tmp.dll
c:\windows\system32\_005163_.tmp.dll
c:\windows\system32\_005164_.tmp.dll
c:\windows\system32\_005165_.tmp.dll
c:\windows\system32\_005167_.tmp.dll
c:\windows\system32\_005168_.tmp.dll
c:\windows\system32\_005171_.tmp.dll
c:\windows\system32\_005172_.tmp.dll
c:\windows\system32\_005173_.tmp.dll
c:\windows\system32\_005174_.tmp.dll
c:\windows\system32\_005175_.tmp.dll
c:\windows\system32\_005176_.tmp.dll
c:\windows\system32\_005178_.tmp.dll
c:\windows\system32\_005181_.tmp.dll
c:\windows\system32\_005182_.tmp.dll
c:\windows\system32\_005186_.tmp.dll
c:\windows\system32\_005187_.tmp.dll
c:\windows\system32\_005189_.tmp.dll
c:\windows\system32\_005192_.tmp.dll
c:\windows\system32\_005194_.tmp.dll
c:\windows\system32\_005195_.tmp.dll
c:\windows\system32\_005196_.tmp.dll
c:\windows\system32\_005197_.tmp.dll
c:\windows\system32\_005198_.tmp.dll
c:\windows\system32\_005201_.tmp.dll
c:\windows\system32\_005202_.tmp.dll
c:\windows\system32\_005203_.tmp.dll
c:\windows\system32\_005204_.tmp.dll
c:\windows\system32\_005205_.tmp.dll
c:\windows\system32\_005210_.tmp.dll
c:\windows\system32\_005212_.tmp.dll
c:\windows\system32\AVSredirect.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-11-18 bis 2010-12-18  ))))))))))))))))))))))))))))))
.

2010-12-17 21:29 . 2010-12-17 22:07	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\XnView
2010-12-17 21:25 . 2010-12-17 21:27	--------	d-----w-	c:\programme\XnView
2010-12-17 19:38 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2010-12-17 19:38 . 2010-09-18 06:52	974848	-c----w-	c:\windows\system32\dllcache\mfc42.dll
2010-12-17 19:37 . 2010-06-21 15:27	354304	-c----w-	c:\windows\system32\dllcache\srv.sys
2010-12-17 19:37 . 2010-02-24 13:11	455680	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-12-17 19:37 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2010-12-17 19:37 . 2009-11-21 15:54	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll
2010-12-17 19:36 . 2010-08-27 08:01	119808	-c----w-	c:\windows\system32\dllcache\t2embed.dll
2010-12-17 19:36 . 2009-10-15 16:28	81920	-c----w-	c:\windows\system32\dllcache\fontsub.dll
2010-12-17 19:36 . 2010-04-28 18:11	2192256	-c----w-	c:\windows\system32\dllcache\ntoskrnl.exe
2010-12-17 19:36 . 2009-03-06 14:19	286720	-c----w-	c:\windows\system32\dllcache\pdh.dll
2010-12-17 19:36 . 2009-02-09 11:21	111104	-c----w-	c:\windows\system32\dllcache\services.exe
2010-12-17 19:36 . 2009-02-09 10:51	401408	-c----w-	c:\windows\system32\dllcache\rpcss.dll
2010-12-17 19:36 . 2009-06-25 08:25	737792	-c----w-	c:\windows\system32\dllcache\lsasrv.dll
2010-12-17 19:36 . 2009-02-09 10:51	678400	-c----w-	c:\windows\system32\dllcache\advapi32.dll
2010-12-17 19:36 . 2009-02-09 10:51	740352	-c----w-	c:\windows\system32\dllcache\ntdll.dll
2010-12-17 19:36 . 2010-04-28 05:41	2148864	-c----w-	c:\windows\system32\dllcache\ntkrnlmp.exe
2010-12-17 19:36 . 2010-04-28 05:41	2027008	-c----w-	c:\windows\system32\dllcache\ntkrpamp.exe
2010-12-17 19:35 . 2010-06-14 07:41	1172480	-c----w-	c:\windows\system32\dllcache\msxml3.dll
2010-12-17 19:34 . 2008-05-08 14:02	203136	-c----w-	c:\windows\system32\dllcache\rmcast.sys
2010-12-17 19:33 . 2008-10-15 16:35	337408	-c----w-	c:\windows\system32\dllcache\netapi32.dll
2010-12-17 19:32 . 2010-08-16 08:44	590848	-c----w-	c:\windows\system32\dllcache\rpcrt4.dll
2010-12-17 19:31 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-17 19:31 . 2010-10-28 13:12	290048	-c----w-	c:\windows\system32\dllcache\atmfd.dll
2010-12-17 19:31 . 2010-10-26 14:05	1853440	-c----w-	c:\windows\system32\dllcache\win32k.sys
2010-12-17 08:09 . 2008-04-14 06:52	286720	-c----w-	c:\windows\system32\dllcache\blackbox.dll
2010-12-17 08:06 . 2006-12-28 23:31	19569	----a-w-	c:\windows\005790_.tmp
2010-12-17 07:27 . 2008-04-14 06:52	81920	------w-	c:\windows\system32\ieencode.dll
2010-12-17 07:27 . 2008-04-14 06:53	380928	------w-	c:\windows\system32\irprops.cpl
2010-12-17 07:27 . 2009-08-06 18:24	217816	----a-w-	c:\windows\system32\wuaucpl.cpl
2010-12-17 07:26 . 2010-12-17 08:12	--------	d-----w-	c:\windows\ServicePackFiles
2010-12-17 07:23 . 2004-07-17 10:40	19528	----a-w-	c:\windows\002584_.tmp
2010-12-17 06:58 . 2001-08-18 12:00	10240	-c--a-w-	c:\windows\system32\dllcache\query.exe
2010-12-17 06:57 . 2001-08-18 03:53	46592	-c--a-w-	c:\windows\system32\dllcache\EXCH_aqadmin.dll
2010-12-17 06:57 . 2001-08-18 03:53	316928	-c--a-w-	c:\windows\system32\dllcache\EXCH_aqueue.dll
2010-12-17 06:57 . 2001-08-18 03:52	5632	-c--a-w-	c:\windows\system32\dllcache\EXCH_adsiisex.dll
2010-12-17 06:57 . 2001-08-18 03:54	2134528	-c--a-w-	c:\windows\system32\dllcache\EXCH_smtpsnap.dll
2010-12-17 06:57 . 2001-08-18 03:54	175616	-c--a-w-	c:\windows\system32\dllcache\EXCH_smtpadm.dll
2010-12-17 06:53 . 2008-04-14 06:53	70656	----a-w-	c:\windows\system32\access.cpl
2010-12-17 06:52 . 2008-04-14 06:52	167424	----a-w-	c:\windows\system32\comsnap.dll
2010-12-17 06:51 . 2008-04-14 06:22	57728	----a-w-	c:\windows\system32\drivers\redbook.sys
2010-12-17 06:51 . 2004-08-03 21:31	32768	----a-w-	c:\windows\system32\drivers\sisnic.sys
2010-12-17 06:50 . 2008-04-14 06:53	129536	----a-w-	c:\windows\system32\ksproxy.ax
2010-12-17 06:50 . 2008-04-14 06:52	4096	----a-w-	c:\windows\system32\ksuser.dll
2010-12-17 06:49 . 2008-04-14 06:53	40840	----a-w-	c:\windows\system32\drivers\termdd.sys
2010-12-17 06:48 . 2008-04-14 06:52	741376	----a-w-	c:\programme\Gemeinsame Dateien\Microsoft Shared\Speech\sapi.dll
2010-12-17 06:48 . 2001-08-18 12:00	13824	-c--a-w-	c:\windows\system32\dllcache\irclass.dll
2010-12-17 06:48 . 2001-08-18 12:00	13824	----a-w-	c:\windows\system32\irclass.dll
2010-12-17 06:48 . 2008-04-14 06:53	146944	----a-w-	c:\windows\system\winspool.drv
2010-12-17 06:48 . 2008-04-14 06:52	76288	----a-w-	c:\windows\system32\storprop.dll
2010-12-17 06:48 . 2008-04-13 23:24	11264	----a-w-	c:\windows\system32\drivers\irenum.sys
2010-12-17 06:48 . 2001-08-18 12:00	24661	-c--a-w-	c:\windows\system32\dllcache\spxcoins.dll
2010-12-17 06:48 . 2001-08-18 12:00	24661	----a-w-	c:\windows\system32\spxcoins.dll
2010-12-17 06:48 . 2001-08-18 12:00	13898	----a-r-	c:\windows\SET9C.tmp
2010-12-17 06:48 . 2001-08-18 12:00	1085913	----a-r-	c:\windows\SET90.tmp
2010-12-16 18:43 . 2010-12-16 18:43	89088	----a-w-	c:\windows\system32\mbr.exe
2010-12-16 18:40 . 2010-12-16 18:40	--------	d-----w-	C:\_OTL
2010-12-16 18:12 . 2010-12-16 18:12	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\PandoraRecovery
2010-12-16 18:10 . 2010-12-16 18:12	--------	d-----w-	c:\programme\PandoraRecovery
2010-12-16 17:38 . 2010-12-16 17:39	--------	d-----w-	c:\programme\Unerase
2010-12-16 17:24 . 2010-12-17 15:48	--------	d-----w-	C:\gerettete Bilder
2010-12-16 12:35 . 2010-11-23 11:56	181688	----a-w-	c:\windows\snui.exe
2010-12-16 12:35 . 2010-12-16 12:35	--------	d-----w-	C:\Softwarenetz
2010-12-16 12:34 . 2010-12-16 12:34	--------	d-----w-	c:\programme\Haushaltsbuch2
2010-12-16 07:35 . 2010-12-16 07:35	--------	d-----w-	c:\programme\MSXML 4.0
2010-12-15 20:31 . 2010-12-16 15:29	--------	d-----w-	c:\programme\ERUNT
2010-12-15 20:24 . 2010-12-15 20:24	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2010-12-15 20:24 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-15 20:24 . 2010-12-15 20:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-15 20:24 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-15 20:24 . 2010-12-15 20:24	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-15 20:05 . 2010-12-15 20:05	--------	d-----w-	c:\programme\Virenhelfer
2010-12-15 19:13 . 2010-12-15 19:14	--------	d-----w-	c:\programme\DigitalImagaRecovery
2010-12-15 14:42 . 2010-12-15 14:43	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2010-12-15 12:24 . 2010-12-15 12:25	--------	d-----w-	c:\programme\SD-Formatter
2010-12-15 11:38 . 2009-09-27 08:39	369152	----a-w-	c:\windows\system32\avisynth.dll
2010-12-15 11:38 . 2008-02-07 15:15	408576	----a-w-	c:\windows\system32\Smab.dll
2010-12-15 11:38 . 2004-02-22 09:11	719872	----a-w-	c:\windows\system32\devil.dll
2010-12-15 11:38 . 2006-04-05 07:09	66560	----a-w-	c:\windows\MOTA113.exe
2010-12-15 11:38 . 2004-01-24 23:00	70656	----a-w-	c:\windows\system32\yv12vfw.dll
2010-12-15 11:38 . 2006-10-07 16:43	502784	----a-w-	c:\windows\x2.64.exe
2010-12-15 11:38 . 2006-04-12 08:47	217073	----a-w-	c:\windows\meta4.exe
2010-12-15 11:38 . 2005-02-28 12:16	240128	----a-w-	c:\windows\system32\x.264.exe
2010-12-15 11:38 . 2004-01-24 23:00	70656	----a-w-	c:\windows\system32\i420vfw.dll
2010-12-15 11:37 . 2010-12-15 11:37	--------	d-----w-	c:\programme\AviSynth 2.5
2010-12-15 11:37 . 2005-02-12 23:00	67584	--sh--r-	c:\windows\system32\RLTheoraDec.ax
2010-12-15 11:37 . 2005-02-12 23:00	51712	--sh--r-	c:\windows\system32\RLSpeexDec.ax
2010-12-15 11:37 . 2005-02-12 23:00	186880	--sh--r-	c:\windows\system32\RLOgg.ax
2010-12-15 11:37 . 2005-02-05 23:00	92672	--sh--r-	c:\windows\system32\RLVorbisDec.ax
2010-12-15 11:37 . 2006-08-15 23:00	175104	--sh--r-	c:\windows\system32\CoreAAC.ax
2010-12-15 11:37 . 2005-02-21 23:00	81920	--sh--r-	c:\windows\system32\aac_parser.ax
2010-12-15 11:37 . 2005-01-17 23:00	179200	--sh--r-	c:\windows\system32\DiracSplitter.ax
2010-12-15 11:36 . 2010-12-15 12:27	--------	d-----w-	c:\programme\SUPER
2010-12-15 10:45 . 2010-12-15 10:45	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\XMedia Recode
2010-12-15 10:19 . 2010-12-15 10:20	--------	d-----w-	c:\programme\Xmedia-Recode
2010-12-14 15:29 . 2010-12-14 15:29	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\Lingo4u
2010-12-14 12:28 . 2010-12-14 21:30	--------	d-----w-	C:\.multiTH
2010-12-14 12:09 . 2010-12-14 12:09	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\HamsterSoft
2010-12-14 11:51 . 2010-12-15 12:05	--------	d-----w-	c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Freeware.de
2010-12-14 11:51 . 2010-12-14 11:51	--------	d-----w-	c:\programme\Conduit
2010-12-14 11:51 . 2010-12-14 11:51	--------	d-----w-	c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-12-14 11:51 . 2010-12-14 12:19	--------	d-----w-	c:\programme\Freeware.de
2010-12-14 11:51 . 2008-12-04 20:46	180224	----a-w-	c:\windows\system32\xvidvfw.dll
2010-12-14 11:51 . 2008-10-08 09:16	139264	----a-w-	c:\windows\system32\xvid.ax
2010-12-14 11:51 . 2009-09-29 19:57	758018	----a-w-	c:\windows\system32\xvidcore.dll
2010-12-14 11:27 . 2010-12-14 11:27	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\Application Updater
2010-12-14 11:26 . 2010-12-14 12:18	--------	d-----w-	c:\programme\Free HD Converter
2010-12-14 11:25 . 2010-12-14 21:41	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\GetRightToGo
2010-12-14 11:11 . 2010-12-14 11:11	--------	d-----w-	c:\dokumente und einstellungen\Admin\Anwendungsdaten\AVS4YOU
2010-12-14 11:10 . 2010-12-14 11:21	--------	d-----w-	c:\programme\Gemeinsame Dateien\AVSMedia
2010-12-14 11:10 . 2010-12-14 11:10	--------	d-----w-	c:\windows\system32\drivers\umdf
2010-12-14 11:09 . 2008-08-13 09:22	974848	----a-w-	c:\windows\system32\mfc70.dll
2010-12-14 11:09 . 2008-08-13 09:22	487424	----a-w-	c:\windows\system32\msvcp70.dll
2010-12-14 11:09 . 2008-08-13 09:22	344064	----a-w-	c:\windows\system32\msvcr70.dll
2010-12-14 11:09 . 2008-08-13 09:22	24576	----a-w-	c:\windows\system32\msxml3a.dll
2010-12-14 11:09 . 2010-12-14 11:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2010-12-14 11:06 . 2010-12-14 12:05	--------	d-----w-	c:\programme\AVCHD-Converter
2010-12-13 23:18 . 2010-12-13 23:18	--------	d-----w-	C:\finalburner
2010-12-13 23:17 . 2010-12-13 23:17	--------	d-----w-	c:\programme\FinalBurner
2010-12-13 10:20 . 2010-12-13 10:20	--------	d-----w-	c:\programme\Image Optimizer
2010-12-10 17:00 . 2010-12-11 11:40	237568	----a-w-	c:\windows\system32\rmc_rtspdl.dll
2010-12-10 17:00 . 2010-12-11 11:40	156672	----a-w-	c:\windows\system32\rmc_fixasf.exe
2010-12-10 17:00 . 2010-12-10 17:00	--------	d-----w-	c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\mdnslib
2010-12-10 17:00 . 2010-12-10 17:00	--------	d-----w-	c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\FLVService

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-09 18:00 . 2010-11-14 16:16	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-22 18:02 . 2010-11-14 16:16	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2010-11-14 14:20	86016	------w-	c:\windows\system32\isign32.dll
2010-11-12 00:44 . 2010-11-12 00:44	94208	----a-w-	c:\windows\system32\dpl100.dll
2010-11-08 22:57 . 2010-11-08 22:57	353592	----a-w-	c:\windows\system32\DivXControlPanelApplet.cpl
2010-11-03 12:25 . 2010-11-14 15:31	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2001-08-18 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2001-08-18 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2001-08-18 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
2006-05-02 23:00	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-20 23:00	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-15 23:00	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{7e111a5c-3d11-4f56-9463-5310c3c69025}"= "c:\programme\Freeware.de\tbFre0.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{7e111a5c-3d11-4f56-9463-5310c3c69025}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-12-09 11:51	3911776	----a-w-	c:\programme\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7e111a5c-3d11-4f56-9463-5310c3c69025}]
2010-12-09 11:51	3911776	----a-w-	c:\programme\Freeware.de\tbFre0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7e111a5c-3d11-4f56-9463-5310c3c69025}"= "c:\programme\Freeware.de\tbFre0.dll" [2010-12-09 3911776]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\ConduitEngine.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{7e111a5c-3d11-4f56-9463-5310c3c69025}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{7E111A5C-3D11-4F56-9463-5310C3C69025}"= "c:\programme\Freeware.de\tbFre0.dll" [2010-12-09 3911776]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\ConduitEngine.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{7e111a5c-3d11-4f56-9463-5310c3c69025}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2010-12-10 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-12-08 1226608]
"DivX Download Manager"="c:\programme\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]
"Ask and Record FLV Service"="c:\programme\Replay Media Catcher\FLVSrvc.exe" [2009-09-22 156672]
"SoundMan"="SOUNDMAN.EXE" [2005-11-11 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Admin\Startmen\Programme\Autostart\
Mozilla Sunbird.lnk - c:\programme\Mozilla Sunbird\sunbird.exe [2010-11-15 6354540]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^OpenOffice.org 3.2.lnk]
path=c:\dokumente und einstellungen\Admin\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07	932288	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 06:52	1695232	------w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ERSvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\WinSCP\\WinSCP.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.11.2010 17:16 135336]
.
Inhalt des "geplante Tasks" Ordners

2010-12-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1292428093-179605362-839522115-1004Core.job
- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-12-10 16:49]

2010-12-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1292428093-179605362-839522115-1004UA.job
- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-12-10 16:49]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\cyqo2ykd.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Softonic Deutsch Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://web.de/fm/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: Freeware.de Community Toolbar: {7e111a5c-3d11-4f56-9463-5310c3c69025} - %profile%\extensions\{7e111a5c-3d11-4f56-9463-5310c3c69025}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\programme\DivX\DivX Plus Web Player\firefox\wpa
FF - user.js: yahoo.homepage.dontask - true
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-18 13:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-12-18  13:08:13
ComboFix-quarantined-files.txt  2010-12-18 12:08

Vor Suchlauf: 15 Verzeichnis(se), 22.313.394.176 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 22.272.684.032 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - EF9CF3CC8886C65B1CFCDF230AFA86BD

--- --- ---

**************************************************

PS: Avira meldet immer noch BOO/Sinowal

Danke soweit und Gruß,

Dirk

16.12.2010, 22:44	#6
Swisstreasure /// Malwareteam	DR/FakePic.gen Malware, Bilder verschwunden Hast Du Schritt 1 gemacht?

16.12.2010, 22:57	#8
Swisstreasure /// Malwareteam	DR/FakePic.gen Malware, Bilder verschwunden Entweder so oder so beides möglich

DR/FakePic.gen Malware, Bilder verschwunden

Plagegeister aller Art und deren Bekämpfung: DR/FakePic.gen Malware, Bilder verschwunden