Routine Überprüfung findet malware

schikum · 23.12.2010, 12:07

Hallo
Der Schädling wurde von Malwarebytes erkannt und gelöscht.
Sind die Log's ansonsten ok?

Andere Frage: Gibt es ein Tutorial, wie man solche Log's auswerten lernt?

Danke für die Hilfe.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5378

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

22.12.2010 23:11:16
mbam-log-2010-12-22 (23-11-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 334769
Laufzeit: 1 Stunde(n), 28 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\***\AppData\Local\Temp\djy.exe (Backdoor.LolBot.Gen) -> Quarantined and deleted successfully.

OTL Extras logfile created on: 23.12.2010 11:02:50 - Run 1
OTL by OldTimer - Version 3.2.18.0 Folder = C:\Users\Papi\Desktop
Windows Vista Home Basic Edition (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.17037)
Locale: 00000807 | Country: ***| Language: DES | Date Format: dd.MM.yyyy

766.00 Mb Total Physical Memory | 180.00 Mb Available Physical Memory | 23.00% Memory free
2.00 Gb Paging File | 1.00 Gb Available in Paging File | 50.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 67.37 Gb Total Space | 21.64 Gb Free Space | 32.12% Space Free | Partition Type: NTFS
Drive D: | 18.05 Gb Total Space | 15.63 Gb Free Space | 86.59% Space Free | Partition Type: NTFS
Drive E: | 14.65 Gb Total Space | 11.94 Gb Free Space | 81.51% Space Free | Partition Type: NTFS
Drive F: | 1.37 Gb Total Space | 0.00 Gb Free Space | 0.00% Space Free | Partition Type: UDF

Computer Name: FAMILY-PC | User Name: Papi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

========== Authorized Applications List ==========

========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{02154BC4-1AD1-42B9-8CF0-007B95508328}" = rport=137 | protocol=17 | dir=out | app=system |
"{221E9536-84C0-4E3E-9503-E7DD089D7E6C}" = lport=139 | protocol=6 | dir=in | app=system |
"{25874692-0119-4B09-BCB0-7B8E6EC0F890}" = lport=137 | protocol=17 | dir=in | app=system |
"{27EF7E56-DA90-4FED-AF74-696C3ED1968A}" = lport=445 | protocol=6 | dir=in | app=system |
"{3DFB12C1-1B35-4263-B2BA-36D3A4EC7833}" = rport=138 | protocol=17 | dir=out | app=system |
"{736BE601-3A8C-444C-83A9-E0FFB0E00036}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{757DF415-162A-43A0-8955-6DC26C26C2F2}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{AB5CE33C-89AD-4C5E-A9BB-62172F0BCA76}" = rport=445 | protocol=6 | dir=out | app=system |
"{FC1FBE63-BD8F-447F-B56C-72FFE81C3006}" = rport=139 | protocol=6 | dir=out | app=system |
"{FDF756E8-05E4-4FEA-A25C-181C42F8028D}" = lport=138 | protocol=17 | dir=in | app=system |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{5F33E9A8-E7CE-4F1D-9129-13C496817642}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{8A483478-E941-4817-B5B8-06BEEE876EC6}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{A536EF0D-93E8-4BA3-A835-FDB4D1D06690}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{CBEE3076-42AF-471D-B1AC-C4D610803AC9}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"TCP Query User{2362613A-DC29-49D3-96FE-18B78302A208}C:\program files\intervideo\dvd8\windvd.exe" = protocol=6 | dir=in | app=c:\program files\intervideo\dvd8\windvd.exe |
"TCP Query User{7DFC5FB3-3D50-4958-8E24-C6CACA1A6AD4}C:\program files\paltalk messenger\paltalk.exe" = protocol=6 | dir=in | app=c:\program files\paltalk messenger\paltalk.exe |
"TCP Query User{A2D99657-B7E0-4FB3-B357-5F341A5B0D1F}C:\program files\google\google earth\client\googleearth.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe |
"TCP Query User{CB38C08A-8697-4957-A894-CFE92D159F7F}C:\program files\intervideo\dvd8\windvd.exe" = protocol=6 | dir=in | app=c:\program files\intervideo\dvd8\windvd.exe |
"TCP Query User{CCE6FF6C-B6EF-467C-98D0-6F6EA251F1C7}C:\program files\paltalk messenger\paltalk.exe" = protocol=6 | dir=in | app=c:\program files\paltalk messenger\paltalk.exe |
"TCP Query User{E82C61CC-C169-4862-AEB6-28D8BC283AFB}C:\program files\google\google earth\client\googleearth.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe |
"TCP Query User{EF3B63AB-D6B8-49CD-9F97-002FC10669F7}C:\program files\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\firefox.exe |
"UDP Query User{1407CE4F-343C-411B-88B7-61BF702F737E}C:\program files\google\google earth\client\googleearth.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe |
"UDP Query User{17C053C8-82FA-4386-81F5-BE2DC4BCBF26}C:\program files\intervideo\dvd8\windvd.exe" = protocol=17 | dir=in | app=c:\program files\intervideo\dvd8\windvd.exe |
"UDP Query User{2284DFE3-2259-48BF-B13A-D3B60DFE5051}C:\program files\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\firefox.exe |
"UDP Query User{42D3237C-45FA-479A-B71D-8BD69DC6121B}C:\program files\google\google earth\client\googleearth.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe |
"UDP Query User{74C36499-E2FE-44FB-B010-76F2B4F3B1EF}C:\program files\paltalk messenger\paltalk.exe" = protocol=17 | dir=in | app=c:\program files\paltalk messenger\paltalk.exe |
"UDP Query User{9E7A116B-2A25-4FDD-A641-CE1297289F2C}C:\program files\intervideo\dvd8\windvd.exe" = protocol=17 | dir=in | app=c:\program files\intervideo\dvd8\windvd.exe |
"UDP Query User{BD31A2BB-574C-45D7-B7E6-8B19879192AB}C:\program files\paltalk messenger\paltalk.exe" = protocol=17 | dir=in | app=c:\program files\paltalk messenger\paltalk.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP620_series" = Canon MP620 series MP Drivers
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = InterVideo WinDVD 8
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{2217B0B4-35CB-48C6-B640-864DF2F30F99}" = OpenOffice.org 3.2
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 22
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{81CD6232-10F5-4832-B3DA-1B88B1571031}" = Nero 7 Essentials
"{8D273DE5-ABFA-4BD0-A9D7-EE9C971438C4}_is1" = PDF-Viewer
"{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}" = FirstSteps Diagnostics
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A90C03D6-08E1-4C59-B93B-6919A6C0AC19}" = TSP_CODEC
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81000000003}" = Adobe Reader 8.1.0 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{CCF22908-ECD2-4068-84F1-BA02DA1EC72D}" = GoGear Spark Device Manager
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE480239-DC94-4A5D-9CBE-415D24D2F6AD}" = Findet Nemo
"{DFF5C119-2948-4A12-B330-357ED7D4295E}" = GoGear Spark Device Manager
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Audiograbber" = Audiograbber 1.83 SE
"Audiograbber-Lame" = Audiograbber Lame-MP3-Plugin
"avast5" = avast! Free Antivirus
"Canon MP620 series Benutzerregistrierung" = Canon MP620 series Benutzerregistrierung
"Canon_IJ_Network_Scan_UTILITY" = Canon IJ Network Scan Utility
"Canon_IJ_Network_UTILITY" = Canon IJ Network Tool
"CanonMyPrinter" = Canon Utilities My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"CCleaner" = CCleaner
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_14F10001" = HDAUDIO Soft Data Fax Modem with SmartCP
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"InstallShield_{20471B27-D702-4FE8-8DEC-0702CC8C0A85}" = InterVideo WinDVD 8
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Platform Device Manager
"InstallShield_{CE480239-DC94-4A5D-9CBE-415D24D2F6AD}" = Findet Nemo
"Loewe3" = Löwenzahn 3
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)
"Mozilla Thunderbird (2.0.0.16)" = Mozilla Thunderbird (2.0.0.16)
"MP Navigator EX 2.0" = Canon MP Navigator EX 2.0
"OnlineBible" = Online Bibel 10.95
"PalTalk8.2" = PaltalkScene
"PhotoScape" = PhotoScape
"QuickTime 3.0" = QuickTime 3.0
"Recuva" = Recuva
"Speccy" = Speccy
"VIA Chrome9 HC IGP Windows Vista Display" = VIA Chrome9 HC IGP Windows Vista Display
"VLC media player" = VLC media player 1.0.5
"VN_VUIns_Rhine_VIA" = VIA Rhine-Family Fast-Ethernet Adapter

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"OnlineBible" = Online Bibel 10.95

========== Last 10 Event Log Errors ==========

[ Antivirus Events ]
Error - 18.05.2010 10:55:20 | Computer Name = Family-PC | Source = avast! | ID = 33554522
Description =

Error - 31.05.2010 10:51:37 | Computer Name = Family-PC | Source = avast! | ID = 33554522
Description =

[ Application Events ]
Error - 20.12.2010 16:13:32 | Computer Name = Family-PC | Source = WerSvc | ID = 5007
Description =

Error - 21.12.2010 03:59:22 | Computer Name = Family-PC | Source = WerSvc | ID = 5007
Description =

Error - 21.12.2010 09:35:53 | Computer Name = Family-PC | Source = WerSvc | ID = 5007
Description =

Error - 21.12.2010 12:14:21 | Computer Name = Family-PC | Source = WerSvc | ID = 5007
Description =

Error - 21.12.2010 14:16:02 | Computer Name = Family-PC | Source = WerSvc | ID = 5007
Description =

Error - 21.12.2010 15:26:41 | Computer Name = Family-PC | Source = WerSvc | ID = 5007
Description =

Error - 22.12.2010 12:50:14 | Computer Name = Family-PC | Source = WerSvc | ID = 5007
Description =

Error - 22.12.2010 15:39:07 | Computer Name = Family-PC | Source = WerSvc | ID = 5007
Description =

Error - 22.12.2010 15:48:12 | Computer Name = Family-PC | Source = WerSvc | ID = 5007
Description =

Error - 22.12.2010 15:56:40 | Computer Name = Family-PC | Source = Application Hang | ID = 1002
Description = Programm SpybotSD.exe, Version 1.6.2.46 arbeitet nicht mehr mit Windows
zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen
für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem
zu suchen. Prozess-ID: 880 Anfangszeit: 01cba211a79b3778 Zeitpunkt der Beendigung:
493

[ System Events ]
Error - 12.12.2010 04:41:40 | Computer Name = Family-PC | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
für die Netzwerkkarte mit der Netzwerkadresse 00C0A8FF2538 zugeteilt werden. Der
folgende Fehler ist aufgetreten: %%1223. Es wird weiterhin im Hintergrund versucht,
eine Adresse vom Netzwerkadressserver (DHCP) zugeteilt zu bekommen.

Error - 12.12.2010 04:54:33 | Computer Name = Family-PC | Source = Print | ID = 6161
Description = Das Dokument BG1.PDF im Besitz von *** konnte nicht auf dem Drucker
Canon MP620 series Printer gedruckt werden. Versuchen Sie erneut, das Dokument
zu drucken, oder starten Sie den Druckspooler erneut. Datentyp: NT EMF 1.008. Größe
der Spooldatei in Bytes: 17580624. Anzahl der gedruckten Bytes: 1284628. Gesamtanzahl
der Seiten des Dokuments: 5. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\FAMILY-PC.
Vom Druckprozessor zurückgegebener Win32-Fehlercode: 1. Unzulässige Funktion.

Error - 12.12.2010 07:52:18 | Computer Name = Family-PC | Source = DCOM | ID = 10010
Description =

Error - 12.12.2010 08:41:51 | Computer Name = Family-PC | Source = Service Control Manager | ID = 7011
Description =

Error - 12.12.2010 11:33:27 | Computer Name = Family-PC | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.1.33 über die
Netzwerkkarte mit der Netzwerkadresse 00C0A8FF2538 ist verloren gegangen.

Error - 13.12.2010 12:27:39 | Computer Name = Family-PC | Source = DCOM | ID = 10010
Description =

Error - 17.12.2010 04:53:39 | Computer Name = Family-PC | Source = Service Control Manager | ID = 7043
Description =

Error - 19.12.2010 11:25:39 | Computer Name = Family-PC | Source = DCOM | ID = 10010
Description =

Error - 21.12.2010 14:16:34 | Computer Name = Family-PC | Source = Service Control Manager | ID = 7011
Description =

Error - 21.12.2010 14:17:16 | Computer Name = Family-PC | Source = Service Control Manager | ID = 7011
Description =

< End of report >

OTL logfile created on: 23.12.2010 11:02:50 - Run 1
OTL by OldTimer - Version 3.2.18.0 Folder = C:\Users\Papi\Desktop
Windows Vista Home Basic Edition (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.17037)
Locale: 00000807 | Country: *** | Language: DES | Date Format: dd.MM.yyyy

766.00 Mb Total Physical Memory | 180.00 Mb Available Physical Memory | 23.00% Memory free
2.00 Gb Paging File | 1.00 Gb Available in Paging File | 50.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 67.37 Gb Total Space | 21.64 Gb Free Space | 32.12% Space Free | Partition Type: NTFS
Drive D: | 18.05 Gb Total Space | 15.63 Gb Free Space | 86.59% Space Free | Partition Type: NTFS
Drive E: | 14.65 Gb Total Space | 11.94 Gb Free Space | 81.51% Space Free | Partition Type: NTFS
Drive F: | 1.37 Gb Total Space | 0.00 Gb Free Space | 0.00% Space Free | Partition Type: UDF

Computer Name: FAMILY-PC | User Name: Papi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Users\Papi\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)
PRC - C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\Programme\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)
PRC - C:\Programme\Canon\MyPrinter\BJMYPRT.EXE (CANON INC.)
PRC - C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE (CANON INC.)
PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Programme\Common Files\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
PRC - C:\Windows\System32\s3trayp.exe (S3 Graphics Co., Ltd.)
PRC - C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe (Fujitsu Siemens Computers)
PRC - C:\Windows\System32\sdclt.exe (Microsoft Corporation)
PRC - C:\Windows\System32\wpcumi.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conime.exe (Microsoft Corporation)
PRC - C:\Windows\System32\audiodg.exe (Microsoft Corporation)

========== Modules (SafeList) ==========

MOD - C:\Users\Papi\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6000.16386_none_5d07289e07e1d100\comctl32.dll (Microsoft Corporation)

========== Win32 Services (SafeList) ==========

SRV - (avast! Web Scanner) -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (avast! Mail Scanner) -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (avast! Antivirus) -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (McComponentHostService) -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
SRV - (SBSDWSCService) -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (IviRegMgr) -- C:\Programme\Common Files\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
SRV - (TestHandler) -- C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe (Fujitsu Siemens Computers)

========== Driver Services (SafeList) ==========

DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (blbdrive) -- C:\Windows\System32\drivers\blbdrive.sys File not found
DRV - (aswTdi) -- C:\Windows\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (aswSP) -- C:\Windows\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswRdr) -- C:\Windows\System32\drivers\aswRdr.sys (AVAST Software)
DRV - (aswMonFlt) -- C:\Windows\System32\drivers\aswMonFlt.sys (AVAST Software)
DRV - (aswFsBlk) -- C:\Windows\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (S3GIGP) -- C:\Windows\System32\drivers\VTGKModeDX32.sys (S3 Graphics Co., Ltd.)
DRV - (HdAudAddService) -- C:\Windows\System32\drivers\viahduaa.sys (VIA Technologies, Inc.)
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Logic Corporation)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (HSFHWAZL) -- C:\Windows\System32\drivers\VSTAZL3.SYS (Conexant Systems, Inc.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (HSF_DPV) -- C:\Windows\System32\drivers\HSX_DPV.sys (Conexant Systems, Inc.)
DRV - (HSXHWAZL) -- C:\Windows\System32\drivers\HSXHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\Windows\System32\drivers\HSX_CNXT.sys (Conexant Systems, Inc.)
DRV - (ApfiltrService) -- C:\Windows\System32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
DRV - (XAudio) -- C:\Windows\System32\drivers\XAudio.sys (Conexant Systems, Inc.)
DRV - (nvraid) NVIDIA nForce(tm) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (nvatabus) -- C:\Windows\system32\drivers\nvatabus.sys (NVIDIA Corporation)
DRV - (iaStor) -- C:\Windows\system32\drivers\iastor.sys (Intel Corporation)
DRV - (SiSRaid2) -- C:\Windows\system32\drivers\sisraid2.sys (Silicon Integrated Systems Corp)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "hxxp://bazonline.ch/schweiz/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.12.23 10:38:38 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.12.23 10:38:38 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.16\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2010.05.03 21:17:32 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.16\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2010.05.03 22:20:35 | 000,000,000 | ---D | M]

[2010.05.03 21:23:20 | 000,000,000 | ---D | M] -- C:\Users\Papi\AppData\Roaming\mozilla\Extensions
[2010.12.22 20:54:53 | 000,000,000 | ---D | M] -- C:\Users\Papi\AppData\Roaming\mozilla\Firefox\Profiles\49e234yn.default\extensions
[2010.05.15 18:53:55 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Papi\AppData\Roaming\mozilla\Firefox\Profiles\49e234yn.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.10.26 07:29:52 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.05.04 09:22:36 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.10.26 07:29:52 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.09.15 03:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2009.03.03 15:31:22 | 000,162,072 | ---- | M] (Tracker Software Products Ltd.) -- C:\Programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
[2010.12.23 10:38:31 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.12.23 10:38:31 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.12.23 10:38:31 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.12.23 10:38:32 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.12.23 10:38:32 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.05.03 21:56:45 | 000,393,089 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 13577 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (PDF-XChange Viewer IE-Plugin) - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll (Tracker Software Products Ltd.)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avast5] C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)
O4 - HKLM..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4 - HKLM..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.)
O4 - HKLM..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe (VIA.)
O4 - HKLM..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE (CANON INC.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [S3Trayp] C:\Windows\System32\s3trayp.exe (S3 Graphics Co., Ltd.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [WPCUMI] C:\Windows\System32\wpcumi.exe (Microsoft Corporation)
O4 - HKCU..\Run: [MBPlayer] C:\Program Files\MB application\MBPlayer.exe (MusicBrigade)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Users\Papi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O9 - Extra Button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\paltalk.exe (AVM Software Inc.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{8d27a9ca-6af3-11df-94be-00140b36ddf9}\Shell\AutoRun\command - "" = G:\installer.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.12.22 20:54:37 | 000,000,000 | ---D | C] -- C:\Users\Papi\AppData\Roaming\Malwarebytes
[2010.12.22 20:53:31 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.12.22 20:53:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.12.22 20:52:40 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.12.22 20:52:37 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.12.22 20:48:12 | 000,602,624 | ---- | C] (OldTimer Tools) -- C:\Users\Papi\Desktop\OTL.exe

========== Files - Modified Within 30 Days ==========

[2010.12.23 11:05:00 | 000,000,416 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{CC40EB32-6746-476B-B344-A254A4A4164C}.job
[2010.12.23 10:31:36 | 000,001,088 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2010.12.23 10:30:51 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.12.23 10:30:51 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.12.23 10:30:13 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.12.23 10:30:09 | 803,717,120 | -HS- | M] () -- C:\hiberfil.sys
[2010.12.22 23:19:08 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010.12.22 20:48:19 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Users\Papi\Desktop\OTL.exe
[2010.12.22 20:39:02 | 000,000,422 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{1BFB3293-EF92-4B48-9A04-6CD7BB761264}.job
[2010.12.22 16:11:08 | 000,000,426 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{C7722009-357A-4531-B3FD-B2D50AFA77F8}.job
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.12.08 15:06:22 | 000,641,344 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.12.08 15:06:22 | 000,610,142 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.12.08 15:06:22 | 000,103,924 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.12.08 15:06:21 | 000,116,706 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.11.27 15:31:16 | 132,176,319 | ---- | M] () -- C:\Windows\MEMORY.DMP

========== Files Created - No Company Name ==========

[2010.09.06 15:38:54 | 000,027,136 | ---- | C] () -- C:\Windows\System32\qtuninst.dll
[2010.05.03 13:23:09 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2007.06.19 11:27:06 | 000,069,632 | ---- | C] () -- C:\Windows\System32\vuins32.dll
[2007.06.19 11:26:05 | 000,135,168 | ---- | C] () -- C:\Windows\System32\property.dll
[2006.11.02 08:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.08.11 17:52:02 | 000,012,288 | ---- | C] () -- C:\Windows\System32\EvOnlDiag.dll

========== LOP Check ==========

[2010.05.27 09:10:23 | 000,000,000 | ---D | M] -- C:\Users\Papi\AppData\Roaming\Canon
[2010.05.27 09:11:46 | 000,000,000 | ---D | M] -- C:\Users\Papi\AppData\Roaming\OpenOffice.org
[2010.08.28 19:14:57 | 000,000,000 | ---D | M] -- C:\Users\Papi\AppData\Roaming\Paltalk
[2010.05.04 19:58:13 | 000,000,000 | ---D | M] -- C:\Users\Papi\AppData\Roaming\Thunderbird
[2010.12.22 23:23:51 | 000,032,620 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2010.12.22 20:39:02 | 000,000,422 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{1BFB3293-EF92-4B48-9A04-6CD7BB761264}.job
[2010.12.22 16:11:08 | 000,000,426 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{C7722009-357A-4531-B3FD-B2D50AFA77F8}.job
[2010.12.23 11:05:00 | 000,000,416 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{CC40EB32-6746-476B-B344-A254A4A4164C}.job

========== Purity Check ==========

< End of report >

cosinus · 26.12.2010, 20:05

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdatein in Malwarebytes.

schikum · 31.12.2010, 13:25

hallo cosinus
Nein, ältere Logs gibt es leider nicht.
Gruss, Schikum

cosinus · 01.01.2011, 21:31

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

schikum · 06.01.2011, 11:01

hallo Cosinus
Combofix durchgeführt. zumRunterladen musste ich den Virenscanner ausschalten, der interpretierte das Programm als Malware.

hier das Log:
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-05.04 - Papi 06.01.2011  10:22:33.1.1 - x86
Microsoft® Windows Vista™ Home Basic   6.0.6000.0.1252.41.1031.18.766.252 [GMT 1:00]
ausgeführt von:: c:\users\Papi\Desktop\cofi.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2010-12-06 bis 2011-01-06  ))))))))))))))))))))))))))))))
.

2011-01-06 09:32 . 2011-01-06 09:34	--------	d-----w-	c:\users\P*\AppData\Local\temp
2011-01-06 09:32 . 2011-01-06 09:32	--------	d-----w-	c:\users\*\AppData\Local\temp
2011-01-06 09:32 . 2011-01-06 09:32	--------	d-----w-	c:\users\Mami\AppData\Local\temp
2011-01-06 09:32 . 2011-01-06 09:32	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-01-06 09:32 . 2011-01-06 09:32	--------	d-----w-	c:\users\J*\AppData\Local\temp
2011-01-06 09:32 . 2011-01-06 09:32	--------	d-----w-	c:\users\H*\AppData\Local\temp
2011-01-06 09:32 . 2011-01-06 09:32	--------	d-----w-	c:\users\E*\AppData\Local\temp
2011-01-06 09:32 . 2011-01-06 09:32	--------	d-----w-	c:\users\D*\AppData\Local\temp
2011-01-06 09:32 . 2011-01-06 09:32	--------	d-----w-	c:\users\T*\AppData\Local\temp
2011-01-06 09:32 . 2011-01-06 09:32	--------	d-----w-	c:\users\B*\AppData\Local\temp
2011-01-04 14:55 . 2010-11-10 04:33	6273872	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{A2CE33DA-E3A4-48C9-8D0E-A25BC35E80D5}\mpengine.dll
2010-12-31 15:04 . 2010-12-31 15:04	--------	d-----w-	c:\users\B*\AppData\Roaming\Malwarebytes
2010-12-28 16:13 . 2010-12-28 16:13	--------	d-----w-	c:\users\E*\AppData\Roaming\Malwarebytes
2010-12-27 12:11 . 2010-12-27 12:11	--------	d-----w-	c:\users\J*\AppData\Roaming\Wildlife Park 2
2010-12-26 18:51 . 2010-12-26 18:51	--------	d-----w-	c:\users\J*\AppData\Roaming\Malwarebytes
2010-12-26 15:50 . 2010-12-26 15:50	--------	d-----w-	c:\users\D*\AppData\Roaming\Wildlife Park 2
2010-12-26 15:40 . 2010-12-26 15:40	--------	d-----w-	c:\users\D*\AppData\Roaming\Wildlife Park 2 - Abenteuer auf der Ranch
2010-12-26 15:35 . 2010-12-26 15:35	--------	d-----w-	c:\program files\Deep Silver
2010-12-26 15:33 . 2004-07-15 23:18	172032	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\01\Intel32\iuser.dll
2010-12-26 15:33 . 2004-07-15 23:16	32768	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\Objectps.dll
2010-12-26 15:33 . 2004-07-15 23:20	733184	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\01\Intel32\iKernel.dll
2010-12-26 15:33 . 2004-07-15 23:20	69715	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\01\Intel32\ctor.dll
2010-12-26 15:33 . 2004-07-15 23:19	266240	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\01\Intel32\iscript.dll
2010-12-26 15:33 . 2004-07-15 23:18	5632	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\01\Intel32\DotNetInstaller.exe
2010-12-26 15:33 . 2010-12-26 15:33	303236	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\01\Intel32\setup.dll
2010-12-26 15:33 . 2010-12-26 15:33	180356	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\01\Intel32\iGdi.dll
2010-12-26 15:10 . 2010-12-26 15:10	--------	d-----w-	c:\users\D*\AppData\Roaming\Malwarebytes
2010-12-25 10:53 . 2010-12-25 10:53	--------	d-----w-	c:\users\R*\AppData\Roaming\Malwarebytes
2010-12-23 15:20 . 2010-12-23 15:20	--------	d-----w-	c:\users\T*\AppData\Roaming\Malwarebytes
2010-12-23 15:04 . 2010-12-23 15:04	--------	d-----w-	c:\users\H*h\AppData\Roaming\Malwarebytes
2010-12-22 19:54 . 2010-12-22 19:54	--------	d-----w-	c:\users\P*\AppData\Roaming\Malwarebytes
2010-12-22 19:53 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-22 19:53 . 2010-12-22 19:53	--------	d-----w-	c:\programdata\Malwarebytes
2010-12-22 19:52 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-22 19:52 . 2010-12-22 19:54	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-12-08 13:09 . 2011-01-05 18:41	--------	d-----w-	c:\users\Public\Bilder Bibel

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 09:41 . 2010-05-03 21:25	222080	------w-	c:\windows\system32\MpSigStub.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-05-04 1232896]
"MBPlayer"="c:\program files\MB application\MBPlayer.exe" [2006-12-19 48640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"S3Trayp"="S3trayp.exe" [2006-12-15 176128]
"HDAudDeck"="c:\program files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe" [2007-01-02 471040]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-09-12 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 153136]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]
"WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

c:\users\R*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\users\T*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\users\D*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\users\E*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\users\H*AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\users\J*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\users\P*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Philips GoGear Spark Gere-Manager.lnk - c:\program files\Philips\GoGear Spark Device Manager\main.exe [2010-5-29 124784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-16 136176]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
.
Inhalt des "geplante Tasks" Ordners

2011-01-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-16 16:36]

2011-01-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-16 16:36]

2011-01-04 c:\windows\Tasks\Spybot - Search & Destroy -  Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SpybotSD.exe [2010-05-03 13:31]

2011-01-05 c:\windows\Tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SDUpdate.exe [2010-05-03 13:31]

2011-01-05 c:\windows\Tasks\User_Feed_Synchronization-{1BFB3293-EF92-4B48-9A04-6CD7BB761264}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]

2011-01-06 c:\windows\Tasks\User_Feed_Synchronization-{C7722009-357A-4531-B3FD-B2D50AFA77F8}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]

2011-01-06 c:\windows\Tasks\User_Feed_Synchronization-{CC40EB32-6746-476B-B344-A254A4A4164C}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Zusätzlicher Suchlauf -------
.
LSP: c:\windows\system32\wpclsp.dll
FF - ProfilePath - c:\users\P*\AppData\Roaming\Mozilla\Firefox\Profiles\49e234yn.default\
FF - prefs.js: browser.startup.homepage - hxxp://bazonline.ch/schweiz/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
------- Dateityp-Verknüpfung -------
.
vbefile\shell\open2\command="%SystemRoot%\System32\CScript.exe" "%1" %*
vbsfile\shell\open2\command="%SystemRoot%\System32\CScript.exe" "%1" %*
jsefile\shell\open2\command=%SystemRoot%\System32\CScript.exe "%1" %*
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-06 10:33
Windows 6.0.6000  NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\program files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe 1???????????????????????????????????????????????????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2011-01-06  10:39:19
ComboFix-quarantined-files.txt  2011-01-06 09:39

Vor Suchlauf: 16 Verzeichnis(se), 22'328'430'592 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 22'629'191'680 Bytes frei

- - End Of File - - 7A7E6CB9C02BB6318FF7C92AFBAF45A1

--- --- ---

Gruss, Schikum

cosinus · 06.01.2011, 13:31

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

schikum · 06.01.2011, 18:41

Hallo Cosinus
GMER ist normal und abgesicherter Modus abgestürzt.
OSAM habe ich leider etwas überlesen, und zwar, das ich die Online-Abfrage überspringen soll. Die ist aber nach dreimal "next"-Klick einfach gestartet. Ich hätte wahrscheinlichdas Sanfenster sofort schliessen sollen.
Ich habe dann nochmals frisch runtergeladen und entpackt und ohne Online-Scanner das Log gemacht. Das ist hier:
OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:37:47 on 06.01.2011

OS: Windows Vista Home Basic Edition (Build 6000), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.12

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Spybot - Search & Destroy -  Scheduled Task.job" - "Safer Networking Limited" - C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
"Spybot - Search & Destroy Updater -  Scheduled Task.job" - "Safer Networking Limited" - C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"QuickTime.cpl" - "Apple Computer, Inc." - C:\Windows\system32\QuickTime.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Nero BurnRights" - "Nero AG" - C:\Program Files\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"aswFsBlk" (aswFsBlk) - "AVAST Software" - C:\Windows\system32\drivers\aswFsBlk.sys
"aswMonFlt" (aswMonFlt) - "AVAST Software" - C:\Windows\system32\drivers\aswMonFlt.sys
"aswRdr" (aswRdr) - "AVAST Software" - C:\Windows\system32\drivers\aswRdr.sys
"aswSP" (aswSP) - "AVAST Software" - C:\Windows\system32\drivers\aswSP.sys
"avast! Network Shield Support" (aswTdi) - "AVAST Software" - C:\Windows\system32\drivers\aswTdi.sys
"catchme" (catchme) - ? - C:\Users\Papi\AppData\Local\Temp\catchme.sys  (File not found)
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{472083B0-C522-11CF-8763-00608CC02F24} "avast" - "AVAST Software" - C:\Program Files\Alwil Software\Avast5\ashShell.dll
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)
{00020d75-0000-0000-c000-000000000046} "lnkfile" - ? -   (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
"PalTalk" - "AVM Software Inc." - C:\Program Files\Paltalk Messenger\Paltalk.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} "PDF-XChange Viewer IE-Plugin" - "Tracker Software Products Ltd." - C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Papi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"OpenOffice.org 3.2.lnk" - ? - C:\Program Files\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"McAfee Security Scan Plus.lnk" - "McAfee, Inc." - C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe  (Shortcut exists | File exists)
"Philips GoGear Spark Gere-Manager.lnk" - "KeenHigh Tech." - C:\Program Files\Philips\GoGear Spark Device Manager\main.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"MBPlayer" - "MusicBrigade" - "C:\Program Files\MB application\MBPlayer.exe"
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avast5" - "AVAST Software" - C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
"CanonMyPrinter" - "CANON INC." - C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
"CanonSolutionMenu" - "CANON INC." - C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
"HDAudDeck" - "VIA." - C:\Program Files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe 1
"IJNetworkScanUtility" - "CANON INC." - C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
"Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
"NeroFilterCheck" - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Canon BJNP Port" - "CANON INC." - C:\Windows\system32\CNMNPPM.DLL

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avast! Antivirus" (avast! Antivirus) - "AVAST Software" - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
"avast! Mail Scanner" (avast! Mail Scanner) - "AVAST Software" - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
"avast! Web Scanner" (avast! Web Scanner) - "AVAST Software" - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
"Fujitsu Siemens Computers Diagnostic Testhandler" (TestHandler) - "Fujitsu Siemens Computers" - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
"McAfee Security Scan Component Host Service" (McComponentHostService) - "McAfee, Inc." - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
"SBSD Security Center Service" (SBSDWSCService) - "Safer Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

[Winlogon]
-----( HKCU\Control Panel\Desktop )-----
"SCRNSAVE.EXE" - "Fujitsu Siemens Computers" - c:\windows\system32\Fujits~1.scr

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Gruss ,Schikum

schikum · 06.01.2011, 18:46

So, hier noch der MBR-Check:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Basic Edition
Windows Information: (build 6000), 32-bit
Base Board Manufacturer: FUJITSU SIEMENS
BIOS Manufacturer: FUJITSU SIEMENS
System Manufacturer: FUJITSU SIEMENS
System Product Name: AMILO Li1705
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 145):
0x82000000 \SystemRoot\system32\ntkrnlpa.exe
0x823A1000 \SystemRoot\system32\hal.dll
0x802C6000 \SystemRoot\system32\kdcom.dll
0x80266000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8025D000 \SystemRoot\system32\PSHED.dll
0x80255000 \SystemRoot\system32\BOOTVID.dll
0x8021A000 \SystemRoot\system32\CLFS.SYS
0x8051F000 \SystemRoot\system32\CI.dll
0x804A4000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8020D000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x80461000 \SystemRoot\system32\drivers\acpi.sys
0x80204000 \SystemRoot\system32\drivers\WMILIB.SYS
0x80459000 \SystemRoot\system32\drivers\msisadrv.sys
0x80434000 \SystemRoot\system32\drivers\pci.sys
0x80425000 \SystemRoot\system32\drivers\volmgr.sys
0x80201000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8041B000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8040B000 \SystemRoot\System32\drivers\mountmgr.sys
0x80403000 \SystemRoot\system32\drivers\viaide.sys
0x807F2000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x807A8000 \SystemRoot\System32\drivers\volmgrx.sys
0x807A0000 \SystemRoot\system32\drivers\atapi.sys
0x80782000 \SystemRoot\system32\drivers\ataport.SYS
0x80764000 \SystemRoot\system32\drivers\vsmraid.sys
0x80724000 \SystemRoot\system32\drivers\storport.sys
0x806F3000 \SystemRoot\system32\drivers\fltmgr.sys
0x806E3000 \SystemRoot\system32\drivers\fileinfo.sys
0x84AFC000 \SystemRoot\system32\drivers\ndis.sys
0x806B8000 \SystemRoot\system32\drivers\msrpc.sys
0x8067F000 \SystemRoot\system32\drivers\NETIO.SYS
0x84CF8000 \SystemRoot\System32\Drivers\Ntfs.sys
0x80615000 \SystemRoot\System32\Drivers\ksecdd.sys
0x84AC6000 \SystemRoot\system32\drivers\volsnap.sys
0x80604000 \SystemRoot\system32\DRIVERS\uagp35.sys
0x84ABE000 \SystemRoot\System32\Drivers\spldr.sys
0x84AAF000 \SystemRoot\System32\drivers\partmgr.sys
0x84AA0000 \SystemRoot\System32\Drivers\mup.sys
0x84A7B000 \SystemRoot\System32\drivers\ecache.sys
0x84A6A000 \SystemRoot\system32\drivers\disk.sys
0x84A49000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x84A40000 \SystemRoot\system32\drivers\crcdisk.sys
0x85C64000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x87701000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x87602000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8872C000 \SystemRoot\system32\DRIVERS\VTGKModeDX32.sys
0x8868D000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x876A3000 \SystemRoot\System32\drivers\watchdog.sys
0x8768B000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x87680000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x87643000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x87635000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8772D000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x88665000 \SystemRoot\system32\DRIVERS\Apfiltr.sys
0x87722000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x87717000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8770B000 \SystemRoot\system32\DRIVERS\fetnd5bv.sys
0x88653000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x88947000 \SystemRoot\system32\DRIVERS\athr.sys
0x85C1E000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x85D1C000 \SystemRoot\system32\DRIVERS\serscan.sys
0x88628000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8860D000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x88930000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x88602000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8890D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x888FE000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x888EB000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x888C4000 \SystemRoot\system32\DRIVERS\termdd.sys
0x85DCA000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8889A000 \SystemRoot\system32\DRIVERS\ks.sys
0x87610000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x888D3000 \SystemRoot\system32\DRIVERS\umbus.sys
0x88866000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x856D0000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x88F72000 \SystemRoot\system32\drivers\viahduaa.sys
0x88F45000 \SystemRoot\system32\drivers\portcls.sys
0x88F20000 \SystemRoot\system32\drivers\drmk.sys
0x88EE3000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0x890FD000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0x88E2F000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0x88C90000 \SystemRoot\system32\drivers\modem.sys
0x876E6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x877F2000 \SystemRoot\System32\Drivers\Null.SYS
0x877F9000 \SystemRoot\System32\Drivers\Beep.SYS
0x88801000 \SystemRoot\System32\drivers\vga.sys
0x88E0E000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x85D2C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x85D34000 \SystemRoot\system32\drivers\rdpencdd.sys
0x888E0000 \SystemRoot\System32\Drivers\Msfs.SYS
0x88C00000 \SystemRoot\System32\Drivers\Npfs.SYS
0x876EF000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x89008000 \SystemRoot\System32\drivers\tcpip.sys
0x897E7000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x897D2000 \SystemRoot\system32\DRIVERS\tdx.sys
0x897BE000 \SystemRoot\system32\DRIVERS\smb.sys
0x88D60000 \SystemRoot\System32\Drivers\aswTdi.SYS
0x89777000 \SystemRoot\system32\drivers\afd.sys
0x8777C000 \SystemRoot\System32\Drivers\aswRdr.SYS
0x89745000 \SystemRoot\System32\DRIVERS\netbt.sys
0x876B0000 \SystemRoot\system32\drivers\ws2ifsl.sys
0x8972F000 \SystemRoot\system32\DRIVERS\pacer.sys
0x89721000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8970E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x896D3000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x88D6A000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8967C000 \SystemRoot\System32\Drivers\dfsc.sys
0x89655000 \SystemRoot\System32\Drivers\aswSP.SYS
0x876C2000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x84C22000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x877C1000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x85DAC000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x85D3C000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x88C9D000 \SystemRoot\System32\Drivers\crashdmp.sys
0x85C02000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x85D44000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x91600000 \SystemRoot\System32\win32k.sys
0x88D92000 \SystemRoot\System32\drivers\Dxapi.sys
0x8BE41000 \SystemRoot\system32\DRIVERS\monitor.sys
0xA2400000 \SystemRoot\System32\TSDDD.dll
0xA2410000 \SystemRoot\System32\cdd.dll
0x92D41000 \SystemRoot\system32\drivers\luafv.sys
0xA32E9000 \??\C:\Windows\system32\drivers\aswMonFlt.sys
0x85D88000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
0x856E0000 \SystemRoot\system32\DRIVERS\lltdio.sys
0xA4A34000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x88DB0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA4603000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xA5172000 \SystemRoot\system32\drivers\spsys.sys
0xA5E44000 \SystemRoot\system32\drivers\HTTP.sys
0xA5035000 \SystemRoot\System32\DRIVERS\srvnet.sys
0xA69E7000 \SystemRoot\system32\DRIVERS\bowser.sys
0xA5EE9000 \SystemRoot\System32\drivers\mpsdrv.sys
0xA69C7000 \SystemRoot\system32\drivers\mrxdav.sys
0xA69A9000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA6970000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0xA695E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xA693A000 \SystemRoot\System32\DRIVERS\srv2.sys
0xA68A9000 \SystemRoot\System32\DRIVERS\srv.sys
0xA6932000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xA7122000 \SystemRoot\system32\drivers\peauth.sys
0x88DEC000 \SystemRoot\System32\Drivers\secdrv.SYS
0xA50D4000 \SystemRoot\System32\drivers\tcpipreg.sys
0x85D04000 \SystemRoot\system32\DRIVERS\xaudio.sys
0xA2BAA000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x777E0000 \Windows\System32\ntdll.dll

Processes (total 59):
0 System Idle Process
4 System
352 C:\Windows\System32\smss.exe
416 csrss.exe
456 C:\Windows\System32\wininit.exe
464 csrss.exe
512 C:\Windows\System32\winlogon.exe
540 C:\Windows\System32\services.exe
556 C:\Windows\System32\lsass.exe
564 C:\Windows\System32\lsm.exe
716 C:\Windows\System32\svchost.exe
784 C:\Windows\System32\svchost.exe
824 C:\Windows\System32\svchost.exe
940 C:\Windows\System32\svchost.exe
984 C:\Windows\System32\svchost.exe
996 C:\Windows\System32\svchost.exe
1056 C:\Windows\System32\audiodg.exe
1084 C:\Windows\System32\SLsvc.exe
1116 C:\Windows\System32\svchost.exe
1264 C:\Windows\System32\svchost.exe
1392 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
1692 C:\Windows\System32\spoolsv.exe
1716 C:\Windows\System32\svchost.exe
1976 C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
2032 C:\Windows\System32\svchost.exe
340 C:\Windows\System32\svchost.exe
1044 C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe
800 C:\Windows\System32\svchost.exe
948 C:\Windows\System32\SearchIndexer.exe
1872 C:\Windows\System32\drivers\XAudio.exe
1796 C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
3288 C:\Program Files\Google\Update\GoogleUpdate.exe
3572 C:\Windows\System32\taskeng.exe
3608 C:\Windows\System32\dwm.exe
3640 C:\Windows\explorer.exe
3880 C:\Windows\System32\s3trayp.exe
3908 C:\Program Files\Apoint2K\Apoint.exe
4008 C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
4016 C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
4040 C:\Windows\System32\wpcumi.exe
4048 C:\Program Files\Common Files\Java\Java Update\jusched.exe
2152 C:\Program Files\Windows Sidebar\sidebar.exe
1656 C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
1128 C:\Windows\System32\taskeng.exe
2648 C:\Program Files\OpenOffice.org 3\program\soffice.exe
2620 C:\Program Files\OpenOffice.org 3\program\soffice.bin
616 C:\Program Files\Apoint2K\ApMsgFwd.exe
2820 C:\Program Files\Apoint2K\ApntEx.exe
2996 C:\Program Files\Alwil Software\Avast5\AvastUI.exe
2744 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
3120 C:\Windows\System32\wuauclt.exe
2912 C:\Program Files\Mozilla Firefox\firefox.exe
3400 C:\Windows\System32\taskeng.exe
2384 C:\Program Files\Mozilla Firefox\plugin-container.exe
1444 C:\Windows\System32\conime.exe
2960 C:\Windows\System32\sdclt.exe
3032 C:\Windows\System32\notepad.exe
924 C:\Users\Papi\Desktop\MBRCheck.exe
3432 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`ee100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000017`6f000000 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000013`c57ea800 (NTFS)

PhysicalDrive0 Model Number: WDCWD1200BEVS-22UST0, Rev: 01.01A01

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

Done!

Ichhabe noch ein Anliegen:
Da ist nämlich seit längerem eine zweite Anfrage von mir, die trotz Erinnnerung noch immer brachliegt. Der thread ist hier: http://www.trojaner-board.de/94027-t...eintraege.html
Würdest du bitte nach Erledigung des Problems hier, einen Blick dort drauf werfen?
Gruss, Schikum

cosinus · 06.01.2011, 20:02

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

schikum · 07.01.2011, 12:18

Hallo Cosinus
Der mbam-Log:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5475

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

07.01.2011 09:39:15
mbam-log-2011-01-07 (09-39-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 334623
Laufzeit: 44 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Der SUPER-Log:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/07/2011 at 11:44 AM

Application Version : 4.47.1000

Core Rules Database Version : 6154
Trace Rules Database Version: 3966

Scan type : Complete Scan
Total Scan Time : 01:44:36

Memory items scanned : 636
Memory threats detected : 0
Registry items scanned : 7617
Registry threats detected : 1
File items scanned : 116349
File threats detected : 18

Rogue.Pallidium
HKU\S-1-5-21-637488285-3103646483-1031641259-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS#WARNONPOSTREDIRECT

Adware.Tracking Cookie
media.jaludo.com [ C:\Users\B*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\D3GY4783 ]
aka-cdn-ns.adtech.de [ C:\Users\D*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JY8BKNWQ ]
cdn5.specificclick.net [ C:\Users\D*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JY8BKNWQ ]
de.pornhub.com [ C:\Users\D*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JY8BKNWQ ]
media.jaludo.com [ C:\Users\D*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JY8BKNWQ ]
www.deinsexdate.com [ C:\Users\D*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JY8BKNWQ ]
media.jaludo.com [ C:\Users\E*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\J3WETZAE ]
149.memecounter.com [ C:\Users\H*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QCEXN7PG ]
cdn5.specificclick.net [ C:\Users\H*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QCEXN7PG ]
media.jaludo.com [ C:\Users\H*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\QCEXN7PG ]
aka-cdn-ns.adtech.de [ C:\Users\J*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\VPKT6J74 ]
media.jaludo.com [ C:\Users\J*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\VPKT6J74 ]
media.jaludo.com [ C:\Users\R*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\TVPN4L6E ]
www.soundmedia.ch [ C:\Users\R*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\TVPN4L6E ]
ads.pointroll.com [ C:\Users\T*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\VNEYLDXS ]
media.jaludo.com [ C:\Users\T*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\VNEYLDXS ]
objects.tremormedia.com [ C:\Users\T*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\VNEYLDXS ]
secure-us.imrworldwide.com [ C:\Users\T*\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\VNEYLDXS ]

Mir ist beim Anschauen der Quarantäne vom SUPER aufgefallen, das der Fund "Rogue" nicht dorthin verschoben wurde. Das Programm hat von sich aus nur einen Haken bei der adware gesetzt, ichhabe daran nichts geändert, sondern mit den Vorgaben auf "Weiter" gedrückt.

cosinus · 07.01.2011, 13:34

Nur Cookies und ein Überrest, harmlos das ganze.
Rechner wieder paletti?

schikum · 07.01.2011, 15:14

Nun ja...dieser Rechner ist in Kid's Ownership...ausser natürlich der Admin

Der Fund war nach einer Routinekontrolle. Da ich selten auf diesem Rechner arbeite, sehe ich Beeinträchtigungen nicht und die Kids haben auch nie was gesagt. Ich stelle gegen zukünftige Ereignisse mal den Firefox besser ein und versuch einen Spywächter zu automatisieren. Lese mich mal durch, was hier so an sinnvollen Pros empfohlen wird.
Soll ich die Cookies ganz löschen und das "SUPER" wieder deinstallieren gemäss Anleitung?

cosinus · 07.01.2011, 15:28

Ja kann weg.
Die Kids haben keine Adminrechte? Oder doch?

schikum · 07.01.2011, 16:01

Nein, nein. Adminrechte voll bei mir allein.
Da alle die Cookies haben, kommt es wahrscheinlich vom Online-Spielen. Muss wohl mal Zeit nehmen und genauer hinschauen.

Gut, dann wäre das hier mal gelöst, vielen herzlichen Dank.

cosinus · 07.01.2011, 16:03

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

26.12.2010, 20:05	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Routine Überprüfung findet malware Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdatein in Malwarebytes. __________________ __________________

06.01.2011, 20:02	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Routine Überprüfung findet malware Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

07.01.2011, 13:34	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Routine Überprüfung findet malware Nur Cookies und ein Überrest, harmlos das ganze. Rechner wieder paletti? __________________ Logfiles bitte immer in CODE-Tags posten

07.01.2011, 15:28	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Routine Überprüfung findet malware Ja kann weg. Die Kids haben keine Adminrechte? Oder doch? __________________ Logfiles bitte immer in CODE-Tags posten

Routine Überprüfung findet malware

Log-Analyse und Auswertung: Routine Überprüfung findet malware