Systembefall BDS/Papras.56320, TR/Agent.135168.BL, JAVA/OpenConnect.AI

helend · 03.02.2011, 12:47

Hallo Zusammen,

nutze WinXP mit SP3, regelmäßigen Updates sowie AVIRA Professional (als einziges Anti-Virenprogramm). Seit gestern werden mir folgende Viren-/Trojaner-/Malwarefunde gemeldet:

## AVIRA-Meldung heute zu "BDS/Papras.56320":##

Zitat:

Die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20110203-114521-206CF929\ARK13E.tmp'
enthielt einen Virus oder unerwünschtes Programm 'BDS/Papras.56320' [backdoor].
Durchgeführte Aktion(en):
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> wurde erfolgreich entfernt.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei wurde gelöscht.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> konnte nicht entfernt werden.

Zitat:

Die Datei 'C:\WINDOWS\asr_si64.dll'
enthielt einen Virus oder unerwünschtes Programm 'BDS/Papras.56320' [backdoor].
Durchgeführte Aktion(en):
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls\mplaconf> wurde erfolgreich entfernt.
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '576703c0.qua' verschoben!
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls\mplaconf> konnte nicht entfernt werden.

Zitat:

In der Datei 'C:\WINDOWS\asr_si64.dll'
wurde ein Virus oder unerwünschtes Programm 'BDS/Papras.56320' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

## AVIRA-Meldung gestern zu "'TR/Agent.135168.BL": ##

Zitat:

Die Datei 'C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\34612320-556ed239'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.135168.BL' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\34612320-556ed239'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.135168.BL' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

## AVIRA-Meldung gestern zu "JAVA/OpenConnect.AI": ##

Zitat:

Beim Zugriff auf Daten der URL "hxxp://tradeingasales.com/in_trade/boxliwhsgzhmf.jar"
wurde ein Virus oder unerwünschtes Programm 'JAVA/OpenConnect.AI' [virus] gefunden.
Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

Zitat:

Beim Zugriff auf Daten der URL "hxxp://tradeingasales.com/in_trade/boxliwhsgzhmf.jar"
wurde ein Virus oder unerwünschtes Programm 'JAVA/OpenConnect.AI' [virus] gefunden.
Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

Mit Hilfe von AVIRA wurden stets Bereinigungsmaßnahmen und komplette Systemscans durchgeführt.

Hier das LOG-File von HijackThis nach dem letzten Scan und Bereinigungsdruchlauf:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:23:47, on 03.02.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\hpb2ksrv.exe
C:\WINDOWS\system32\hpbhksrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\50\bin\OWSTIMER.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\hpnra.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Belkin\F5D7001v2000\Belkinwcui.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\winlogon.exe
C:\Programme\DSL-Manager\DslMgrSvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
D:\Downloadz\OTL.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\notepad.exe
C:\Programme\HijackThis\pruefung.com
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>;*.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\system32\hpnra.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Spamihilator.lnk = C:\Programme\Spamihilator\spamihilator.exe
O4 - Global Startup: Belkin Wireless Utility.lnk = ?
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\frank\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\frank\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_5F1A57F0B9B89E2E.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.tiscali.de
O15 - Trusted Zone: hxxp://www.gmx.de
O15 - Trusted Zone: hxxp://service.gmx.net
O15 - Trusted Zone: hxxp://www.gmx.net
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - 
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - 
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - 
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - 
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - hxxp://134.226.124.250/activex/AMC.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_17) - 
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - 
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - 
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - 
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - 
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - 
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_17) - 
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: HP Status - Hewlett-Packard Company - C:\WINDOWS\system32\hpb2ksrv.exe
O23 - Service: HP Status Print - Unknown owner - C:\WINDOWS\system32\hpbhksrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\WINDOWS\system32\STacSV.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe
 
--
End of file - 9328 bytes

Habe ich noch Schadprogramme auf dem System, weil bspw. der Kern nicht durch AVIRA gefunden und bereinigt werden kann? Was soll ich tun? OTL.exe kann jederzeit durchgeführt werden, aber wie bzw. mit welchen Einstellungen?

Herzlichen Dank für Eure Hilfe!!!

Hallo,

so sieht übrigens die Log-Datei OTL.Txt aus, durchgeführt mit den Einstellungen
1. Scanne alle Benutzer
2. Minimale Ausgabe
3. LOP + PURITY-Prüfung
(alle anderen auf Standard bzw. so, wie bei erstem Programmstart) aus:

OTL.Txt:

Code:

ATTFilter

OTL logfile created on: 03.02.2011 13:26:05 - Run 2
OTL by OldTimer - Version 3.2.20.6     Folder = c:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 66,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,82 Gb Total Space | 202,03 Gb Free Space | 86,77% Space Free | Partition Type: NTFS
Drive D: | 229,82 Gb Total Space | 178,02 Gb Free Space | 77,46% Space Free | Partition Type: NTFS
Drive L: | 1397,26 Gb Total Space | 1157,42 Gb Free Space | 82,84% Space Free | Partition Type: NTFS
 
Computer Name: PC_FRANKDECKER | User Name: frank | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - c:\OTL.exe (OldTimer Tools)
PRC - c:\Programme\Avira\AntiVir Desktop\avscan.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Spamihilator\spamihilator.exe (Michel Krämer)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\DSL-Manager\DslMgrSvc.exe (T-Systems Enterprise Services GmbH)
PRC - C:\Programme\Belkin\F5D7001v2000\Belkinwcui.exe (Belkin)
PRC - C:\WINDOWS\CTHELPER.EXE (Creative Technology Ltd)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
PRC - C:\WINDOWS\system32\hpbhksrv.exe ()
PRC - C:\WINDOWS\system32\hpb2ksrv.exe (Hewlett-Packard Company)
PRC - C:\WINDOWS\system32\pctspk.exe (PCtel, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\web server extensions\50\bin\OWSTIMER.EXE (Microsoft Corporation)
PRC - C:\WINDOWS\system32\hpnra.exe (Hewlett-Packard)
 
 
========== Modules (SafeList) ==========
 
MOD - c:\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HotSpotFSvc) --  File not found
SRV - (gupdate1c997898b0c86dc) Google Update Service (gupdate1c997898b0c86dc) --  File not found
SRV - (AcrSch2Svc) --  File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia.)
SRV - (TDslMgrService) -- C:\Programme\DSL-Manager\DslMgrSvc.exe (T-Systems Enterprise Services GmbH)
SRV - (STacSV) -- C:\WINDOWS\system32\stacsv.exe (IDT, Inc.)
SRV - (O&O Defrag) -- C:\WINDOWS\system32\oodag.exe (O&O Software GmbH)
SRV - (Macromedia Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe ()
SRV - (PC_FRANKDECKER) -- C:\Programme\Microsoft Business Solutions-Navision\Database Server\SERVER.exe (Microsoft Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (xControlCOM) -- C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe (Siemens)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
SRV - (HP Status Print) -- C:\WINDOWS\system32\hpbhksrv.exe ()
SRV - (HP Status) -- C:\WINDOWS\system32\hpb2ksrv.exe (Hewlett-Packard Company)
SRV - (Pctspk) -- C:\WINDOWS\system32\pctspk.exe (PCtel, Inc.)
SRV - (SPTimer) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\50\bin\OWSTIMER.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (timounter) -- C:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis)
DRV - (tifsfilter) -- C:\WINDOWS\system32\drivers\tifsfilt.sys (Acronis)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (FsUsbExDisk) -- C:\WINDOWS\system32\FsUsbExDisk.Sys ()
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (dsltestSp5) -- C:\WINDOWS\system32\drivers\DslTestSp5.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (IDT, Inc.)
DRV - (HPFXBULK) -- C:\WINDOWS\system32\drivers\hpfxbulk.sys (Hewlett Packard)
DRV - (TSMPacket) -- C:\WINDOWS\system32\drivers\tsmpkt.sys (T-Systems)
DRV - (KMWDKUSB) -- C:\WINDOWS\system32\drivers\KMWDKUSB.sys (KYOCERA MITA)
DRV - (Gig5gu) -- C:\WINDOWS\system32\drivers\gig5gu.sys (Siemens AG)
DRV - (Gigsrf) -- C:\WINDOWS\system32\drivers\gigsrf.sys (Siemens AG)
DRV - (Gigtnc) -- C:\WINDOWS\system32\drivers\gigtnc.sys (Siemens AG)
DRV - (Atkcfg) -- C:\WINDOWS\system32\drivers\atkcfg.sys (Siemens AG)
DRV - (Sieupdfu) -- C:\WINDOWS\system32\drivers\sieupdfu.sys (Siemens AG)
DRV - (Sieupapp) -- C:\WINDOWS\system32\drivers\sieupapp.sys (Siemens AG)
DRV - (BCM43XX) -- C:\WINDOWS\system32\drivers\bcmwl5.sys (Broadcom Corporation)
DRV - (LHidKe) -- C:\WINDOWS\system32\drivers\LHidKE.Sys (Logitech, Inc.)
DRV - (LMouKE) -- C:\WINDOWS\system32\drivers\LMouKE.Sys (Logitech, Inc.)
DRV - (ossrv) -- C:\WINDOWS\system32\drivers\ctoss2k.sys (Creative Technology Ltd.)
DRV - (ctsfm2k) -- C:\WINDOWS\system32\drivers\ctsfm2k.sys (Creative Technology Ltd)
DRV - (iaStor) -- C:\WINDOWS\system32\drivers\iaStor.sys (Intel Corporation)
DRV - (tfsnudfa) -- C:\WINDOWS\system32\dla\tfsnudfa.sys (Sonic Solutions)
DRV - (tfsnudf) -- C:\WINDOWS\system32\dla\tfsnudf.sys (Sonic Solutions)
DRV - (tfsnifs) -- C:\WINDOWS\system32\dla\tfsnifs.sys (Sonic Solutions)
DRV - (tfsncofs) -- C:\WINDOWS\system32\dla\tfsncofs.sys (Sonic Solutions)
DRV - (tfsnboio) -- C:\WINDOWS\system32\dla\tfsnboio.sys (Sonic Solutions)
DRV - (tfsnopio) -- C:\WINDOWS\system32\dla\tfsnopio.sys (Sonic Solutions)
DRV - (tfsnpool) -- C:\WINDOWS\system32\dla\tfsnpool.sys (Sonic Solutions)
DRV - (tfsndrct) -- C:\WINDOWS\system32\dla\tfsndrct.sys (Sonic Solutions)
DRV - (tfsndres) -- C:\WINDOWS\system32\dla\tfsndres.sys (Sonic Solutions)
DRV - (sscdbhk5) -- C:\WINDOWS\system32\drivers\sscdbhk5.sys (Sonic Solutions)
DRV - (ssrtln) -- C:\WINDOWS\system32\drivers\ssrtln.sys (Sonic Solutions)
DRV - (drvmcdb) -- C:\WINDOWS\system32\drivers\drvmcdb.sys (Sonic Solutions)
DRV - (drvnddm) -- C:\WINDOWS\system32\drivers\drvnddm.sys (Sonic Solutions)
DRV - (e1express) Intel(R) -- C:\WINDOWS\system32\drivers\e1e5132.sys (Intel Corporation)
DRV - (siellif) -- C:\WINDOWS\system32\drivers\siellif.sys (Siemens AG)
DRV - (DectEnum) -- C:\WINDOWS\system32\drivers\DectEnum.sys (Siemens AG)
DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.)
DRV - (IUAPIWDM) ISDN USB Interface (Ver. 1.20.0032) -- C:\WINDOWS\system32\drivers\IUAPIWDM.sys (SIEMENS AG)
DRV - (HRCMPA) ISDN Wan driver (Ver. 1.20.0032) -- C:\WINDOWS\system32\drivers\hrcmpa.sys (SIEMENS AG)
DRV - (NDISCAPI) -- C:\WINDOWS\system32\drivers\ndiscapi.sys (SIEMENS AG)
DRV - (CAPI) -- C:\WINDOWS\system32\drivers\capi.sys (SIEMENS AG)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (P17) -- C:\WINDOWS\system32\drivers\P17.sys (Creative Technology Ltd.)
DRV - (dot4ufd) -- C:\WINDOWS\system32\drivers\hppaufd0.sys (HP)
DRV - (CamDrv.Pixela) -- C:\WINDOWS\system32\drivers\camdrv.sys (Pixela)
DRV - (phil2vid) Philips VGA-Kamera (USB) -- C:\WINDOWS\system32\drivers\philcam2.sys (Microsoft Corporation)
DRV - (Vpctcom) -- C:\WINDOWS\system32\DRIVERS\vpctcom.sys (PCtel, Inc.)
DRV - (Vvoice) -- C:\WINDOWS\system32\DRIVERS\vvoice.sys (PCtel, Inc.)
DRV - (Vmodem) -- C:\WINDOWS\system32\DRIVERS\vmodem.sys (PCTEL, INC.)
DRV - (Ptserlp) -- C:\WINDOWS\system32\drivers\ptserlp.sys (PCTEL, INC.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-839522115-1715567821-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-839522115-1715567821-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKU\S-1-5-21-839522115-1715567821-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\S-1-5-21-839522115-1715567821-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-839522115-1715567821-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-839522115-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-839522115-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost;<local>;*.local
 
 
IE - HKU\S-1-5-21-839522115-1715567821-725345543-1023\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&ai=13054"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: ""
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..network.proxy.no_proxies_on: "localhost,localhost,127.0.0.1"
 
FF - user.js..browser.search.openintab: false
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.11 14:25:14 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.11 14:25:14 | 000,000,000 | ---D | M]
 
[2009.03.30 19:43:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Mozilla\Extensions
[2011.02.02 19:02:19 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Mozilla\Firefox\Profiles\5251vv0e.default\extensions
[2010.04.27 20:14:33 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Mozilla\Firefox\Profiles\5251vv0e.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.04.04 23:36:01 | 000,000,000 | ---D | M] (YouTube Downloader for Facebook) -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Mozilla\Firefox\Profiles\5251vv0e.default\extensions\{2122962a-1424-fffe-19af-bba2ef3eff4a}
[2010.10.31 20:01:18 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Mozilla\Firefox\Profiles\5251vv0e.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2009.10.23 11:13:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Mozilla\Firefox\Profiles\5251vv0e.default\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB}
[2010.12.30 14:56:47 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Mozilla\Firefox\Profiles\5251vv0e.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.12.30 14:56:45 | 000,000,000 | ---D | M] (Page Speed) -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Mozilla\Firefox\Profiles\5251vv0e.default\extensions\{e3f6c2cc-d8db-498c-af6c-499fb211db97}
[2011.02.02 19:02:19 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.25 17:09:48 | 000,063,488 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npwachk.dll
[2010.03.18 20:07:15 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.05.25 12:19:16 | 000,002,226 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\babylon.xml
[2010.03.18 20:07:15 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.18 20:07:15 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.18 20:07:15 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.18 20:07:15 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.07.18 13:45:17 | 000,000,820 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll (Sonic Solutions)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - No CLSID value found.
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O3 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O3 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CTHelper] C:\WINDOWS\CTHELPER.EXE (Creative Technology Ltd)
O4 - HKLM..\Run: [HP Network Registry Agent] C:\WINDOWS\system32\hpnra.exe (Hewlett-Packard)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [Logitech Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech Inc.)
O4 - HKU\S-1-5-21-839522115-1715567821-725345543-1009..\RunOnce: [NeroHomeFirstStart]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Belkin Wireless Utility.lnk = C:\Programme\Belkin\F5D7001v2000\Belkinwcui.exe (Belkin)
O4 - Startup: C:\Dokumente und Einstellungen\BAUSR_PC_FRANKDECKER\Startmenü\Programme\Autostart\T-DSL Manager.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (T-Systems Enterprise Services GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\frank\Startmenü\Programme\Autostart\Spamihilator.lnk = C:\Programme\Spamihilator\spamihilator.exe (Michel Krämer)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoInternetOpenWith = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonType = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetOpenWith = 1
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogOff = 1
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 00 00 FF 03  [binary data]
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceStartMenuLogOff = 1
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1009\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1009\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1023\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1023\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-839522115-1715567821-725345543-1023\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceStartMenuLogOff = 1
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\frank\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm ()
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\frank\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O15 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\..Trusted Domains: dresdner-privat.de ([www] https in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\..Trusted Domains: file ([]* in Lokales Intranet)
O15 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\..Trusted Domains: gmx.de ([www] http in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\..Trusted Domains: gmx.net ([service] http in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-839522115-1715567821-725345543-1003\..Trusted Domains: gmx.net ([www] http in Vertrauenswürdige Sites)
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} Reg Error: Value error. (DataDesign DDBAC Plug-In)
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} Reg Error: Value error. (MUWebControl Class)
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} hxxp://134.226.124.250/activex/AMC.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Reg Error: Value error. (Java Plug-in 1.6.0_17)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Reg Error: Value error. (Java Plug-in 1.6.0_17)
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} Reg Error: Value error. (AxisMediaControlEmb Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.07.10 03:16:15 | 000,000,000 | RH-D | M] - L:\autorun -- [ NTFS ]
O32 - AutoRun File - [2002.10.16 13:56:50 | 000,000,036 | RH-- | M] () - L:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{481b08d4-028c-11df-a4ea-00123f76cc93}\Shell\AutoRun\command - "" = K:\installer.exe
O33 - MountPoints2\{481b08d4-028c-11df-a4ea-00123f76cc93}\Shell\verb\command - "" = K:\installer.exe
O33 - MountPoints2\{d4858588-65ee-11dd-a1ee-00123f76cc93}\Shell\AutoRun\command - "" = K:\setupSNK.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (OODBS) - C:\WINDOWS\System32\OODBS.exe (O&O Software GmbH)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.03 13:23:29 | 000,602,624 | ---- | C] (OldTimer Tools) -- C:\OTL.exe
[2011.02.03 11:05:04 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\frank\Recent
[2011.02.03 11:00:37 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy
[2011.01.26 11:09:52 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoft
[2011.01.04 18:04:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\frank\Lokale Einstellungen\Anwendungsdaten\MailStore Temp
[2011.01.04 18:03:02 | 000,000,000 | ---D | C] -- C:\Eigene Dateien\MailStore Home
[2011.01.04 18:01:40 | 000,000,000 | ---D | C] -- C:\Programme\MailStore Home
[2005.10.17 21:34:47 | 000,065,536 | ---- | C] ( ) -- C:\WINDOWS\System32\a3d.dll
[2005.07.04 16:35:43 | 000,155,648 | ---- | C] (Illustrate) -- C:\Programme\WMA8Connect.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.03 12:49:00 | 000,000,876 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.02.03 12:11:29 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\OTL.exe
[2011.02.03 11:38:50 | 001,409,024 | ---- | M] () -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\fin.zup
[2011.02.03 11:02:52 | 000,000,492 | RHS- | M] () -- C:\Dokumente und Einstellungen\frank\ntuser.pol
[2011.02.03 11:01:00 | 000,000,466 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2011.02.03 10:45:08 | 000,013,712 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.02.03 10:43:23 | 000,000,872 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.02.03 10:43:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.02.03 10:43:14 | 000,566,868 | ---- | M] () -- C:\WINDOWS\System32\OODBS.lor
[2011.02.02 19:30:10 | 000,207,360 | ---- | M] () -- C:\Dokumente und Einstellungen\frank\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.02.02 16:35:18 | 000,000,496 | -HS- | M] () -- C:\boot.ini
[2011.02.02 16:25:30 | 000,000,458 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for frank.job
[2011.02.02 11:46:32 | 001,029,120 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.02.02 09:58:17 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.02.01 14:11:02 | 000,001,080 | ---- | M] () -- C:\WINDOWS\AUTOLNCH.REG
[2011.01.31 17:10:00 | 000,000,995 | ---- | M] () -- C:\Dokumente und Einstellungen\frank\Desktop\Fahrtkosten 2011.lnk
[2011.01.31 15:23:40 | 000,043,520 | ---- | M] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2011.01.31 13:30:47 | 000,002,457 | ---- | M] () -- C:\Dokumente und Einstellungen\frank\Desktop\FrontPage 2003.lnk
[2011.01.28 10:03:41 | 000,006,375 | ---- | M] () -- C:\lieferzeiten.jpg
[2011.01.27 10:35:32 | 000,051,200 | -H-- | M] () -- C:\WINDOWS\System32\asr_si64.dll
[2011.01.26 14:44:08 | 000,026,125 | ---- | M] () -- C:\Eigene Dateien\PaketscheinServlet.pdf
[2011.01.25 11:48:34 | 000,305,831 | ---- | M] () -- C:\Eigene Dateien\Binder2.pdf
[2011.01.24 13:35:01 | 000,029,369 | ---- | M] () -- C:\boyne-walk-all-black-storms-thunder-tips-1.jpg
[2011.01.21 14:40:34 | 000,011,068 | ---- | M] () -- C:\fc-sb-sneaker-balls.jpg
[2011.01.21 14:40:22 | 000,142,724 | ---- | M] () -- C:\Eigene Dateien\fc-sb-sneaker-balls.png
[2011.01.21 14:39:20 | 000,046,786 | ---- | M] () -- C:\fc-sb2-sneaker-balls.jpg
[2011.01.21 14:39:12 | 000,604,029 | ---- | M] () -- C:\Eigene Dateien\fc-sb2-sneaker-balls.png
[2011.01.21 11:27:02 | 000,389,951 | ---- | M] () -- C:\Eigene Dateien\Anzeige_BNA_18050142157_20110121.pdf
[2011.01.21 10:55:27 | 000,154,941 | ---- | M] () -- C:\Eigene Dateien\MitteilungRufnummernSpamMede.pdf
[2011.01.21 10:43:35 | 000,147,825 | ---- | M] () -- C:\Eigene Dateien\MitteilungRufnummernSpamNstwpdf.pdf
[2011.01.21 10:29:57 | 000,001,138 | ---- | M] () -- C:\test.xls
[2011.01.18 21:13:41 | 000,000,407 | ---- | M] () -- C:\WINDOWS\INSPACE.INI
[2011.01.18 13:06:36 | 000,009,994 | ---- | M] () -- C:\e8770pv.jpg
[2011.01.17 20:57:41 | 000,000,684 | ---- | M] () -- C:\Eigene Dateien\Peng Wang.kmz
[2011.01.13 08:45:28 | 001,059,647 | ---- | M] () -- C:\Eigene Dateien\e10vertraeglichkeit.pdf
[2011.01.12 16:09:47 | 000,703,834 | ---- | M] () -- C:\Eigene Dateien\mengenmeldung2010.png
[2011.01.12 16:06:48 | 000,010,227 | ---- | M] () -- C:\Eigene Dateien\Mengenmeldung_4105776MM2009[1].pdf
[2011.01.11 14:06:43 | 000,015,377 | ---- | M] () -- C:\Eigene Dateien\JosieundLia7.wprj
[2011.01.11 10:18:12 | 000,079,526 | ---- | M] () -- C:\Eigene Dateien\Testsatz_Blue_Poppy_2009.pdf
[2011.01.10 16:02:55 | 000,007,144 | ---- | M] () -- C:\Eigene Dateien\peng.m3u
[2011.01.07 17:04:19 | 000,039,271 | ---- | M] () -- C:\Fotolia_6662308_XS.jpg
[2011.01.06 17:12:09 | 000,019,547 | ---- | M] () -- C:\Fotolia_8467879_M.jpg
[2011.01.06 17:08:06 | 000,022,275 | ---- | M] () -- C:\Fotolia_11861588_XS.jpg
[2011.01.06 16:49:46 | 000,003,769 | ---- | M] () -- C:\liadecker-xmas2010.jpg
[2011.01.06 14:48:28 | 000,033,211 | ---- | M] () -- C:\schild3.jpg
[2011.01.06 14:48:22 | 000,039,151 | ---- | M] () -- C:\schild2.jpg
[2011.01.06 14:48:12 | 000,095,618 | ---- | M] () -- C:\schild1.jpg
[2011.01.06 10:12:43 | 000,016,244 | ---- | M] () -- C:\leprechaun-dance.gif
[2011.01.04 18:01:52 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MailStore Home.lnk
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.02.03 11:02:52 | 000,000,492 | RHS- | C] () -- C:\Dokumente und Einstellungen\frank\ntuser.pol
[2011.02.03 11:01:00 | 000,000,466 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2011.01.28 10:03:27 | 000,006,375 | ---- | C] () -- C:\lieferzeiten.jpg
[2011.01.27 10:35:32 | 000,051,200 | -H-- | C] () -- C:\WINDOWS\System32\asr_si64.dll
[2011.01.25 11:48:34 | 000,305,831 | ---- | C] () -- C:\Eigene Dateien\Binder2.pdf
[2011.01.24 13:35:01 | 000,029,369 | ---- | C] () -- C:\boyne-walk-all-black-storms-thunder-tips-1.jpg
[2011.01.21 14:40:34 | 000,011,068 | ---- | C] () -- C:\fc-sb-sneaker-balls.jpg
[2011.01.21 14:40:22 | 000,142,724 | ---- | C] () -- C:\Eigene Dateien\fc-sb-sneaker-balls.png
[2011.01.21 14:39:20 | 000,046,786 | ---- | C] () -- C:\fc-sb2-sneaker-balls.jpg
[2011.01.21 14:39:12 | 000,604,029 | ---- | C] () -- C:\Eigene Dateien\fc-sb2-sneaker-balls.png
[2011.01.21 11:27:02 | 000,389,951 | ---- | C] () -- C:\Eigene Dateien\Anzeige_BNA_18050142157_20110121.pdf
[2011.01.21 10:50:00 | 000,154,941 | ---- | C] () -- C:\Eigene Dateien\MitteilungRufnummernSpamMede.pdf
[2011.01.21 10:43:35 | 000,147,825 | ---- | C] () -- C:\Eigene Dateien\MitteilungRufnummernSpamNstwpdf.pdf
[2011.01.21 10:29:02 | 000,001,138 | ---- | C] () -- C:\test.xls
[2011.01.18 21:13:41 | 000,000,407 | ---- | C] () -- C:\WINDOWS\INSPACE.INI
[2011.01.18 13:06:58 | 000,009,994 | ---- | C] () -- C:\e8770pv.jpg
[2011.01.17 20:57:40 | 000,000,684 | ---- | C] () -- C:\Eigene Dateien\Peng Wang.kmz
[2011.01.13 08:45:28 | 001,059,647 | ---- | C] () -- C:\Eigene Dateien\e10vertraeglichkeit.pdf
[2011.01.12 16:09:47 | 000,703,834 | ---- | C] () -- C:\Eigene Dateien\mengenmeldung2010.png
[2011.01.12 16:06:48 | 000,010,227 | ---- | C] () -- C:\Eigene Dateien\Mengenmeldung_4105776MM2009[1].pdf
[2011.01.11 10:18:12 | 000,079,526 | ---- | C] () -- C:\Eigene Dateien\Testsatz_Blue_Poppy_2009.pdf
[2011.01.10 16:02:55 | 000,007,144 | ---- | C] () -- C:\Eigene Dateien\peng.m3u
[2011.01.07 17:04:19 | 000,039,271 | ---- | C] () -- C:\Fotolia_6662308_XS.jpg
[2011.01.07 12:36:22 | 000,015,377 | ---- | C] () -- C:\Eigene Dateien\JosieundLia7.wprj
[2011.01.06 17:12:09 | 000,019,547 | ---- | C] () -- C:\Fotolia_8467879_M.jpg
[2011.01.06 17:08:06 | 000,022,275 | ---- | C] () -- C:\Fotolia_11861588_XS.jpg
[2011.01.06 16:49:46 | 000,003,769 | ---- | C] () -- C:\liadecker-xmas2010.jpg
[2011.01.06 14:48:28 | 000,033,211 | ---- | C] () -- C:\schild3.jpg
[2011.01.06 14:48:22 | 000,039,151 | ---- | C] () -- C:\schild2.jpg
[2011.01.06 14:48:12 | 000,095,618 | ---- | C] () -- C:\schild1.jpg
[2011.01.06 10:11:54 | 000,016,244 | ---- | C] () -- C:\leprechaun-dance.gif
[2011.01.04 18:01:52 | 000,000,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MailStore Home.lnk
[2010.12.02 17:47:57 | 001,048,576 | ---- | C] () -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\__TEMP__.2SQ
[2010.08.28 13:35:39 | 000,000,003 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntLog.txt
[2010.04.22 17:53:50 | 000,000,358 | ---- | C] () -- C:\WINDOWS\barcode.ini
[2009.08.07 19:28:44 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2009.08.07 19:24:08 | 000,000,152 | ---- | C] () -- C:\WINDOWS\WLP.ini
[2009.08.03 14:07:42 | 000,403,816 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2009.07.31 12:26:48 | 000,000,030 | ---- | C] () -- C:\WINDOWS\Iedit.INI
[2009.07.28 11:20:45 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll
[2009.07.28 11:20:45 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys
[2009.07.28 11:20:30 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\$_hpcst$.hpc
[2009.07.18 13:52:09 | 000,000,320 | ---- | C] () -- C:\WINDOWS\hpbvspst.ini
[2009.06.10 07:29:34 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2009.06.10 07:29:34 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2009.06.10 07:29:34 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2009.06.10 07:29:32 | 001,507,328 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2009.03.30 14:02:45 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2008.05.10 10:10:52 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.dll
[2008.05.10 10:10:52 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\clauth2.dll
[2008.05.10 10:10:52 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\clauth1.dll
[2008.05.10 10:10:52 | 000,000,205 | ---- | C] () -- C:\WINDOWS\System32\lsprst7.dll
[2008.05.10 10:10:52 | 000,000,073 | ---- | C] () -- C:\WINDOWS\System32\ssprs.dll
[2008.04.22 19:40:39 | 002,808,832 | ---- | C] () -- C:\Programme\Gemeinsame DateienDDBACSetup.msi
[2008.03.12 11:28:41 | 000,000,299 | ---- | C] () -- C:\WINDOWS\Apache.Ini
[2008.03.12 11:27:37 | 000,094,720 | ---- | C] () -- C:\WINDOWS\System32\SMACKW32.DLL
[2008.02.02 14:09:42 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
[2008.01.27 17:35:53 | 000,004,910 | ---- | C] () -- C:\Programme\discs.txt
[2008.01.24 10:26:52 | 000,037,888 | ---- | C] () -- C:\WINDOWS\System32\setupnt.dll
[2007.11.20 13:12:23 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\preflib.dll
[2007.11.20 13:12:22 | 000,076,710 | ---- | C] () -- C:\WINDOWS\System32\bcmwls.ini
[2007.11.20 13:12:21 | 000,757,760 | ---- | C] () -- C:\WINDOWS\System32\bcm1xsup.dll
[2007.10.25 22:36:34 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2007.10.25 16:26:10 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2007.08.29 16:15:39 | 000,000,183 | ---- | C] () -- C:\WINDOWS\I_VIEW32.INI
[2007.06.28 19:09:49 | 000,021,897 | ---- | C] () -- C:\WINDOWS\hpsockping.ini
[2007.06.25 14:05:41 | 000,000,022 | ---- | C] () -- C:\WINDOWS\hpjmonsv.ini
[2007.06.25 12:46:33 | 000,002,454 | ---- | C] () -- C:\WINDOWS\hpstatus.ini
[2007.06.25 12:46:17 | 000,159,744 | ---- | C] () -- C:\WINDOWS\System32\hpbor.dll
[2007.06.25 12:46:17 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\jfwapi.dll
[2007.06.25 12:46:16 | 000,385,072 | ---- | C] () -- C:\WINDOWS\System32\HPRrm.dll
[2007.06.25 12:46:11 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\PrintButton.dll
[2007.06.20 14:19:17 | 000,000,178 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
[2007.05.18 15:14:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oodcnt.INI
[2007.04.20 12:36:40 | 000,000,193 | ---- | C] () -- C:\WINDOWS\hppsapp.INI
[2007.02.25 18:02:04 | 000,000,005 | -HS- | C] () -- C:\WINDOWS\System32\bbabedeadffe_s.dll
[2007.01.24 03:15:49 | 000,001,747 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2006.11.16 13:21:50 | 000,004,257 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2006.10.20 20:12:12 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2006.10.20 20:12:12 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2006.10.06 11:46:48 | 000,045,487 | ---- | C] () -- C:\Dokumente und Einstellungen\frank\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log
[2006.07.28 09:47:27 | 000,016,023 | ---- | C] () -- C:\WINDOWS\System32\SETUP.INI
[2006.05.01 15:20:26 | 001,409,024 | ---- | C] () -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\fin.zup
[2006.05.01 14:57:30 | 000,000,460 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\dbms.zup
[2006.05.01 11:19:02 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.05.01 11:17:18 | 000,007,164 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
[2006.04.27 13:01:56 | 000,005,628 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2006.03.27 16:53:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Muma60.INI
[2006.03.09 14:29:00 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.03.09 14:29:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.02.17 12:44:13 | 000,042,499 | ---- | C] () -- C:\WINDOWS\php.ini
[2006.01.03 19:34:36 | 000,000,635 | ---- | C] () -- C:\WINDOWS\Rtcw.INI
[2006.01.03 17:43:48 | 000,004,501 | ---- | C] () -- C:\WINDOWS\Fred2.INI
[2005.12.24 10:46:02 | 000,000,435 | ---- | C] () -- C:\WINDOWS\dellstat.ini
[2005.11.28 12:42:23 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\qwtype.dll
[2005.11.03 16:32:41 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2005.10.27 13:55:45 | 000,000,019 | ---- | C] () -- C:\WINDOWS\LxRegi.INI
[2005.10.27 13:43:22 | 000,048,128 | ---- | C] () -- C:\WINDOWS\System32\V24.DLL
[2005.10.27 13:24:22 | 000,001,201 | ---- | C] () -- C:\WINDOWS\QUICKEN.INI
[2005.10.27 13:24:22 | 000,000,052 | ---- | C] () -- C:\WINDOWS\Intuprof.ini
[2005.10.27 13:20:41 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\frank\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005.10.27 13:18:52 | 000,278,583 | ---- | C] () -- C:\WINDOWS\System32\dnt27.dll
[2005.10.27 13:18:52 | 000,077,882 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27.dll
[2005.10.27 13:18:52 | 000,073,785 | ---- | C] () -- C:\WINDOWS\System32\dntvm27.dll
[2005.10.24 12:54:11 | 000,000,884 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2005.10.20 14:04:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\frontpg.ini
[2005.10.19 15:44:32 | 000,306,688 | ---- | C] () -- C:\WINDOWS\System32\Lffpx7.dll
[2005.10.19 15:44:32 | 000,095,232 | ---- | C] () -- C:\WINDOWS\System32\Lfkodak.dll
[2005.10.18 15:04:21 | 000,049,212 | ---- | C] () -- C:\WINDOWS\System32\claptn32.ini
[2005.10.18 15:04:21 | 000,000,192 | ---- | C] () -- C:\WINDOWS\System32\ctzapxx.ini
[2005.10.18 15:03:53 | 000,003,072 | ---- | C] () -- C:\WINDOWS\CTXFIRES.DLL
[2005.10.18 15:01:45 | 000,000,194 | ---- | C] () -- C:\WINDOWS\System32\KILL.INI
[2005.10.18 15:01:44 | 000,038,400 | ---- | C] () -- C:\WINDOWS\System32\CTBURST.DLL
[2005.10.18 14:24:55 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2005.10.18 11:46:00 | 000,034,816 | ---- | C] () -- C:\WINDOWS\System32\~bwcrc32.dll
[2005.10.17 23:03:51 | 000,207,360 | ---- | C] () -- C:\Dokumente und Einstellungen\frank\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.10.17 22:17:23 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.10.17 21:34:47 | 000,060,928 | R--- | C] () -- C:\WINDOWS\System32\P17.dll
[2005.10.17 21:34:47 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\P17CPI.dll
[2005.10.17 21:18:32 | 000,000,748 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.10.17 21:10:07 | 000,003,425 | ---- | C] () -- C:\WINDOWS\tm.ini
[2005.10.17 21:05:17 | 000,000,155 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2005.07.04 16:35:43 | 001,309,668 | ---- | C] () -- C:\Programme\Line-In.pdf
[2005.07.04 16:35:43 | 000,138,240 | ---- | C] () -- C:\Programme\vorbis.dll
[2005.07.04 16:35:43 | 000,064,000 | ---- | C] () -- C:\Programme\vorbisenc.dll
[2005.07.04 16:35:43 | 000,044,863 | ---- | C] () -- C:\Programme\German.lng
[2005.07.04 16:35:43 | 000,043,771 | ---- | C] () -- C:\Programme\Italian.lng
[2005.07.04 16:35:43 | 000,042,533 | ---- | C] () -- C:\Programme\Spanish.lng
[2005.07.04 16:35:43 | 000,011,776 | ---- | C] () -- C:\Programme\vorbisfile.dll
[2005.07.04 16:35:43 | 000,009,216 | ---- | C] () -- C:\Programme\ogg.dll
[2005.07.04 16:35:42 | 000,899,072 | ---- | C] () -- C:\Programme\audiograbber.exe
[2005.07.04 16:35:42 | 000,178,412 | ---- | C] () -- C:\Programme\Erste_Schritte.pdf
[2005.07.04 16:35:42 | 000,046,092 | ---- | C] () -- C:\Programme\French.lng
[2005.07.04 16:35:42 | 000,036,352 | ---- | C] () -- C:\Programme\ag12full.dll
[2005.07.04 16:35:42 | 000,004,770 | ---- | C] () -- C:\Programme\audiograbber.ini
[2005.07.04 16:35:42 | 000,000,760 | ---- | C] () -- C:\Programme\audiograbber.apr
[2005.07.04 16:35:42 | 000,000,386 | ---- | C] () -- C:\Programme\Auto.Nam
[2005.04.19 23:59:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2005.03.24 12:18:04 | 000,491,077 | ---- | C] () -- C:\WINDOWS\System32\QCONNECT.DLL
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2003.02.20 09:59:52 | 000,221,184 | ---- | C] () -- C:\WINDOWS\System32\TidyATL.dll
[2002.12.17 05:31:14 | 000,007,176 | ---- | C] () -- C:\WINDOWS\System32\KPNDLG.INI
[2002.12.17 05:31:14 | 000,004,138 | ---- | C] () -- C:\WINDOWS\System32\KPNMSG.INI
[2002.03.21 12:51:52 | 000,503,808 | R--- | C] () -- C:\WINDOWS\System32\lt_xtrans.dll
[2002.03.21 12:51:52 | 000,286,720 | R--- | C] () -- C:\WINDOWS\System32\MrSIDD.dll
[2002.03.21 12:51:52 | 000,163,840 | R--- | C] () -- C:\WINDOWS\System32\lt_common.dll
[2002.03.21 12:51:52 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lt_trans.dll
[2002.03.21 12:51:52 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\lt_meta.dll
[2002.03.21 12:51:52 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\lt_encrypt.dll
[2002.03.21 12:51:52 | 000,020,480 | R--- | C] () -- C:\WINDOWS\System32\lt_messagetext.dll
[2002.02.27 17:50:00 | 000,197,120 | ---- | C] () -- C:\WINDOWS\System32\patchw32.dll
[2001.07.30 15:17:12 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHealr.dll
[1999.12.15 19:16:06 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\Lpng.dll
 
========== LOP Check ==========
 
[2010.09.13 10:44:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1
[2005.10.17 22:37:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2011.02.02 17:48:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AlfBanCo4
[2009.03.26 09:40:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Applications
[2007.06.04 23:12:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bitstream Font Navigator
[2008.06.16 07:58:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
[2010.05.10 13:59:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2007.01.05 13:53:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HotSpot Manager
[2009.02.07 15:08:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
[2009.08.25 17:29:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2007.03.27 21:59:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mindjet
[2008.06.17 10:19:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2010.10.14 15:11:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Seagate
[2010.01.04 17:58:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spamihilator
[2009.05.17 13:50:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL Manager
[2009.05.17 13:50:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2009.05.17 13:50:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online DSL-Manager
[2008.07.27 10:49:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2005.11.08 22:46:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2010.04.30 17:16:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009.03.30 14:04:28 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
[2010.05.07 19:58:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\.k3d
[2010.09.13 10:45:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\1&1
[2005.10.17 22:38:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\ACD Systems
[2009.10.23 16:08:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\AceBIT
[2008.01.24 10:32:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Acronis
[2010.11.01 14:40:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\ALFBanCo3
[2011.02.02 17:48:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\ALFBanCo4
[2005.10.22 11:45:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Alien Skin
[2010.11.27 17:13:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Amazon
[2005.10.27 13:50:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\DataDesign
[2008.06.11 12:12:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\DataLayer
[2010.12.07 20:20:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\DVDVideoSoft
[2010.10.31 20:01:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\DVDVideoSoftIEHelpers
[2010.05.10 14:09:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\elsterformular
[2010.09.17 15:03:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\FileZilla
[2007.03.31 13:04:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Good Keywords v2
[2010.10.26 18:15:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\GrabPro
[2010.05.07 20:20:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\gtk-2.0
[2005.10.24 13:01:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Leadertech
[2009.06.26 11:10:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\LPC
[2006.03.10 11:22:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\MSNInstaller
[2010.08.04 15:08:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\MyBusinessCatalogPt
[2006.03.10 13:08:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\ntr
[2011.02.02 12:51:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Orbit
[2010.09.19 16:28:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\ProgSense
[2009.07.28 11:20:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Samsung
[2010.08.03 14:51:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\SecondLife
[2006.12.29 18:10:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\SmartStore
[2011.02.03 13:30:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Spamihilator
[2007.01.05 13:54:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\T-DSL Manager
[2006.11.10 14:57:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\T-DSL SpeedManager
[2009.03.30 14:05:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\TuneUp Software
[2006.05.13 12:21:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\Ulead Systems
[2011.02.03 11:28:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank USER\Anwendungsdaten\SmartStore
[2010.05.14 07:58:12 | 000,000,236 | ---- | M] () -- C:\WINDOWS\Tasks\OGALogon.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5C321E34
 
< End of report >

Vielleicht hilft dies bereits weiter?

cosinus · 04.02.2011, 22:10

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

helend · 05.02.2011, 17:13

Hallo Arne,

und vielen Dank für Deine Antwort. Hatte mir aufgrund mehrerer, ähnlicher Beiträge hier "bereits" gestern Malwarebytes installiert und ausgeführt. Die Logs:

Erster Scan mit Malwarebytes überhaupt, 4.2., Modus: Quickscan

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5677

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.02.2011 18:12:26
mbam-log-2011-02-04 (18-12-26).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 46137
Laufzeit: 2 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3AA42713-5C1E-48E2-B432-D8BF420DD31D} (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F1FABE79-25FC-46DE-8C5A-2C6DB9D64333} (Adware.Alexa) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Maßnahme: Beseitigen + anschließender Vollscan:

Malwarebytes Vollscan, 4.2.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5677

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.02.2011 19:42:44
mbam-log-2011-02-04 (19-42-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 409227
Laufzeit: 1 Stunde(n), 29 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\AG12FULL.DLL (Spyware.OnlineGames) -> Value: AG12FULL.DLL -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\OGG.DLL (Spyware.OnlineGames) -> Value: OGG.DLL -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\VORBIS.DLL (Spyware.OnlineGames) -> Value: VORBIS.DLL -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\VORBISENC.DLL (Spyware.OnlineGames) -> Value: VORBISENC.DLL -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\VORBISFILE.DLL (Spyware.OnlineGames) -> Value: VORBISFILE.DLL -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\frank\anwendungsdaten\Sun\Java\deployment\cache\6.0\32\34612320-7e366b40 (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\programme\ag12full.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\ogg.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\vorbis.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\vorbisenc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\vorbisfile.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Maßnahme: Beseitigen.

Malwarebytes, aktueller Vollscan vom 5.2.:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5684

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.02.2011 17:12:01
mbam-log-2011-02-05 (17-12-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 342914
Laufzeit: 56 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Laut meiner Bank soll irgendwo auch ein Trojaner dabeigewesen sein (siehe Logs), der Bankdaten bzw. Transfers abgefangen haben soll (... wie das, wenn per HBCI und USB-Stick?!). Was meinst Du, ob jetzt sehr wahrscheinlich alles wieder in Ordnung ist?

Vielen lieben Dank!!!

cosinus · 06.02.2011, 20:26

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.07.10 03:16:15 | 000,000,000 | RH-D | M] - L:\autorun -- [ NTFS ]
O32 - AutoRun File - [2002.10.16 13:56:50 | 000,000,036 | RH-- | M] () - L:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{481b08d4-028c-11df-a4ea-00123f76cc93}\Shell\AutoRun\command - "" = K:\installer.exe
O33 - MountPoints2\{481b08d4-028c-11df-a4ea-00123f76cc93}\Shell\verb\command - "" = K:\installer.exe
O33 - MountPoints2\{d4858588-65ee-11dd-a1ee-00123f76cc93}\Shell\AutoRun\command - "" = K:\setupSNK.exe
[2011.02.03 11:38:50 | 001,409,024 | ---- | M] () -- C:\Dokumente und Einstellungen\frank\Anwendungsdaten\fin.zup
@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5C321E34
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

helend · 07.02.2011, 09:04

Hallo,

und vielen Dank. Hier nun das Logfile nach dem Fix:

Code:

ATTFilter

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File  not found.
File L:\autorun.inf not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{481b08d4-028c-11df-a4ea-00123f76cc93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{481b08d4-028c-11df-a4ea-00123f76cc93}\ not found.
File K:\installer.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{481b08d4-028c-11df-a4ea-00123f76cc93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{481b08d4-028c-11df-a4ea-00123f76cc93}\ not found.
File K:\installer.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4858588-65ee-11dd-a1ee-00123f76cc93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d4858588-65ee-11dd-a1ee-00123f76cc93}\ not found.
K:\setupSNK.exe moved successfully.
C:\Dokumente und Einstellungen\frank\Anwendungsdaten\fin.zup moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5C321E34 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
 
User: frank
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 3966059 bytes
->Java cache emptied: 75986839 bytes
->FireFox cache emptied: 41148749 bytes
->Flash cache emptied: 2122227 bytes
 
User: Frank USER
->Temp folder emptied: 17067 bytes
->Temporary Internet Files folder emptied: 50078 bytes
->Flash cache emptied: 41 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 254134 bytes
 
User: NetworkService
->Temp folder emptied: 34548 bytes
->Temporary Internet Files folder emptied: 33472 bytes
->Flash cache emptied: 456 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 49635 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 118,00 mb
 
 
OTL by OldTimer - Version 3.2.20.6 log created on 02072011_085052

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\frank\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YKJQ6U6I\ads[2].htm moved successfully.
C:\Dokumente und Einstellungen\frank\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PG0M0MNP\ads[1].htm moved successfully.
C:\Dokumente und Einstellungen\frank\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9MKF7DYK\95343-systembefall-bds-papras-56320-tr-agent-135168-bl-java-openconnect-ai[1].html moved successfully.
C:\WINDOWS\temp\Perflib_Perfdata_2bc.dat moved successfully.

Registry entries deleted on Reboot...

!!!!! Ist jetzt alles weg?
Helen

cosinus · 07.02.2011, 11:32

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

helend · 07.02.2011, 12:42

Hallo Arne,

Hier der Inhalt der ComboFix.txt:

Code:

ATTFilter

ComboFix 11-02-06.02 - frank 07.02.2011  12:08:35.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\frank\Desktop\cofi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Thumbs.db
c:\windows\AUTOLNCH.REG
c:\windows\system32\Cache
c:\windows\system32\setup.ini

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2011-01-07 bis 2011-02-07  ))))))))))))))))))))))))))))))
.

2011-02-07 10:47 . 2011-02-07 10:47	--------	d-----w-	c:\programme\CCleaner
2011-02-07 07:50 . 2011-02-07 07:50	--------	d-----w-	C:\_OTL
2011-02-04 17:05 . 2011-02-04 17:05	--------	d-----w-	c:\dokumente und einstellungen\frank\Anwendungsdaten\Malwarebytes
2011-02-04 17:05 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-04 17:05 . 2011-02-04 17:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-04 17:04 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-02-04 16:39 . 2011-02-04 16:39	--------	d-----w-	c:\dokumente und einstellungen\frank\Anwendungsdaten\Photo! Web Album
2011-02-03 12:23 . 2011-02-03 11:11	602624	----a-w-	C:\OTL.exe
2011-02-03 10:23 . 2011-02-03 10:23	--------	d-----w-	c:\dokumente und einstellungen\Frank USER
2011-02-03 10:00 . 2011-02-03 10:00	--------	d--h--w-	c:\windows\system32\GroupPolicy
2011-01-27 09:35 . 2011-01-27 09:35	51200	---ha-w-	c:\windows\system32\asr_si64.dll
2011-01-26 10:09 . 2011-01-26 10:09	--------	d-----w-	c:\programme\DVDVideoSoft

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-04 20:24 . 2009-08-07 18:28	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
2010-11-18 18:12 . 2005-10-17 20:23	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-09 14:51 . 2004-08-04 12:00	249856	----a-w-	c:\windows\system32\odbc32.dll
2008-04-22 18:40 . 2008-04-22 18:40	2808832	----a-w-	c:\programme\Gemeinsame DateienDDBACSetup.msi
2004-02-09 03:48 . 2005-07-04 15:35	899072	----a-w-	c:\programme\audiograbber.exe
2002-01-03 20:50 . 2005-07-04 15:35	155648	----a-w-	c:\programme\WMA8Connect.dll
2006-05-03 09:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE" [2005-08-08 16384]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-11-03 28160]
"HP Network Registry Agent"="c:\windows\system32\hpnra.exe" [2000-10-26 49152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2009-5-17 1085440]

c:\dokumente und einstellungen\frank\Startmen\Programme\Autostart\
Spamihilator.lnk - c:\programme\Spamihilator\spamihilator.exe [2010-4-30 1512448]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Belkin Wireless Utility.lnk - c:\programme\Belkin\F5D7001v2000\Belkinwcui.exe [2007-11-20 1572864]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2009-5-17 1085440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"LogonType"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceStartMenuLogOff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips SA011 Gere-Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Philips SA011 Gere-Manager.lnk
backup=c:\windows\pss\Philips SA011 Gere-Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^frank^Startmenü^Programme^Autostart^Spamihilator.lnk]
path=c:\dokumente und einstellungen\frank\Startmenü\Programme\Autostart\Spamihilator.lnk
backup=c:\windows\pss\Spamihilator.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-12-11 13:57	948672	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-21 23:57	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AsioReg]
2005-08-08 03:54	73728	----a-w-	c:\windows\system32\CTASIO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-01 06:39	1164584	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlrblckr.exe]
2006-09-27 11:25	57460	----a-w-	c:\programme\Gigaset DECT\gigaset-m34-usb\dlrblckr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]
2004-10-19 23:01	86016	----a-w-	c:\programme\Sonic\Sonic Solutions Product CD\Media Experience\DMXLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
2006-04-06 09:51	49152	------w-	c:\programme\CyberLink\PowerDVD\DVDLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Proxy Server]
2007-06-25 15:57	918	----a-w-	c:\programme\Hewlett-Packard\ProxyService\ProxyService.lnk

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
2006-02-16 07:34	20480	----a-w-	c:\programme\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 13:40	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-10-11 15:49	14940040	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07	2260480	------w-	c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2007-08-01 18:17	185896	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WinDefend"=2 (0x2)
"iPod Service"=3 (0x3)
"Macromedia Licensing Service"=3 (0x3)
"UPS"=3 (0x3)
"OOCleverCacheAgent"=2 (0x2)
"gupdate1c997898b0c86dc"=2 (0x2)
"gusvc"=3 (0x3)
"O&O Defrag"=3 (0x3)
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"UxTuneUp"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"Bonjour Service"=2 (0x2)
"CCALib8"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"=c:\programme\Messenger\msmsgs.exe" /background
"jdsfjsdijf.exe"=c:\jdsfjsdijf.exe\jdsfjsdijf.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SerExt"=SerExt.exe /unplug 
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"Acronis*True*Image Monitor"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"IDTSysTrayApp"=sttray.exe
"Spamihilator"="c:\programme\Spamihilator\spamihilator.exe"
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"nwiz"=nwiz.exe /install
"CTxfiHlp"=CTXFIHLP.EXE
"OOCCCTRL.EXE"="c:\programme\OO Software\CleverCache\OOCCCTRL.EXE" /tasktray
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"d:\\Games\\Counter Strike Source\\srcds.exe"=
"c:\\Programme\\Microsoft Business Solutions-Navision\\Client\\AtDebug.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SmartStore\\SmartStore.biz 5\\SMBiz5.exe"=
"c:\\Programme\\Java\\jre1.6.0_01\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\hpbspsvr.exe"=
"c:\\Programme\\Java\\jre1.6.0_02\\bin\\javaw.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"c:\\Programme\\Macromedia\\Fireworks MX\\Fireworks.exe"=
"c:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"=
"d:\\Games\\Counter Strike Source\\hl2.exe"=
"d:\\Games\\Battlefield 1942\\BF1942.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"d:\\Games\\Age of Empires 2\\empires2_ORI.exe"=
"d:\\Games\\Command and Conquer - Red Alert\\GAME.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Spamihilator\\spamihilator.exe"=
"c:\\Programme\\Spamihilator\\cdcc.exe"=
"c:\\Programme\\Spamihilator\\dccproc.exe"=
"d:\\Games\\Freespace2\\FS2.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\Games\\Age of Empires 2\\empires2.EXE"=
"c:\\Programme\\MailStore Home\\MailStoreLocal.exe"=
"d:\\Games\\Age of Empires 2\\age2_x1.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R?2 PC_FRANKDECKER;Microsoft Business Solutions-Navision Database Server PC_FRANKDECKER;c:\programme\Microsoft Business Solutions-Navision\Database Server\SERVER.exe [29.08.2005 12:22 772920]
R2 CAPI;CAPI 2.0 Service;c:\windows\system32\drivers\capi.sys [06.09.2007 12:28 28740]
R2 NDISCAPI;NDIS CAPI Service;c:\windows\system32\drivers\ndiscapi.sys [06.09.2007 12:28 41037]
R2 SPTimer;SharePoint Zeitgeber-Dienst;c:\programme\Gemeinsame Dateien\Microsoft Shared\web server extensions\50\bin\OWSTIMER.EXE [16.02.2001 00:42 345504]
R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [01.03.2005 10:36 8448]
R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [08.09.2004 15:22 263751]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [17.05.2009 13:50 13824]
S3 9030F945;9030F945;c:\windows\system32\9030F945.exe --> c:\windows\system32\9030F945.exe [?]
S3 Atkcfg;Cordless Device Configuration;c:\windows\system32\drivers\atkcfg.sys [01.03.2005 12:49 46592]
S3 bDMusicb;bDMusicb;\??\c:\dokume~1\frank\LOKALE~1\Temp\bDMusicb.sys --> c:\dokume~1\frank\LOKALE~1\Temp\bDMusicb.sys [?]
S3 CamDrv.Pixela;JVC Web Camera;c:\windows\system32\drivers\camdrv.sys [04.07.2007 10:10 9125]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [17.05.2009 14:22 26816]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [28.07.2009 11:20 36608]
S3 Gig5gu;Cordless Internet Access;c:\windows\system32\drivers\gig5gu.sys [01.03.2005 12:51 55680]
S3 Gigsrf;Cordless Device Line Access;c:\windows\system32\drivers\gigsrf.sys [01.03.2005 12:50 94592]
S3 Gigtnc;Cordless PC Control;c:\windows\system32\drivers\gigtnc.sys [01.03.2005 12:49 45440]
S3 HotSpotFSvc;Hotspot Manager;"c:\programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" --> c:\programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe [?]
S3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [08.09.2004 15:22 50759]
S3 KMWDKUSB;KM-WDK USB;c:\windows\system32\drivers\KMWDKUSB.sys [18.10.2005 15:56 41667]
S3 Normandy;Normandy SR2; [x]
S3 phil2vid;Philips VGA-Kamera (USB);c:\windows\system32\drivers\philcam2.sys [29.01.2010 12:47 173696]
S3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [08.11.2006 11:54 113408]
S3 Sieupapp;Cordless Device Update;c:\windows\system32\drivers\sieupapp.sys [01.03.2005 12:46 32128]
S3 Sieupdfu;Cordless Device in update mode;c:\windows\system32\drivers\sieupdfu.sys [01.03.2005 12:47 32000]
S3 TDslMgrService;DSL-Manager;c:\programme\DSL-Manager\DslMgrSvc.exe [17.05.2009 13:50 294912]
S3 vmdmd;Softmodem/Fax Port Driver;c:\windows\system32\DRIVERS\vmdmd.sys --> c:\windows\system32\DRIVERS\vmdmd.sys [?]
S3 xControlCOM;xControlCOM;c:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [01.03.2005 09:45 327680]
S4 gupdate1c997898b0c86dc;Google Update Service (gupdate1c997898b0c86dc);"c:\programme\Google\Update\GoogleUpdate.exe" /svc --> c:\programme\Google\Update\GoogleUpdate.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners

2010-05-14 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title = Windows Internet Explorer
uInternet Settings,ProxyOverride = localhost;<local>;*.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_5F1A57F0B9B89E2E.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B}
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044}
FF - ProfilePath - c:\dokumente und einstellungen\frank\Anwendungsdaten\Mozilla\Firefox\Profiles\5251vv0e.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&ai=13054
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - 
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.http.max-persistent-connections-per-server - 3
FF - user.js: nglayout.initialpaint.delay - 50
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: browser.blink_allowed - true
FF - user.js: network.prefetch-next - true
FF - user.js: layout.spellcheckDefault - 1
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.tabs.opentabfor.middleclick - true
FF - user.js: browser.tabs.tabMinWidth - 100
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-AutoStartNPSAgent - c:\programme\Samsung\Samsung New PC Studio\NPSAgent.exe
MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe
MSConfigStartUp-Nokia - c:\programme\Nokia\Nokia PC Suite 6\PCSync2.exe
MSConfigStartUp-OOCCCTRL - c:\programme\OO Software\CleverCache\OOCCCTRL.EXE
MSConfigStartUp-PC Suite Tray - c:\programme\Nokia\Nokia PC Suite 6\PCSuite.exe
MSConfigStartUp-PCSuiteTrayApplication - c:\progra~1\Nokia\Nokia PC Suite 6\LaunchApplication.exe
MSConfigStartUp-pdfSaver3 - c:\programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
MSConfigStartUp-swg - c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
MSConfigStartUp-Windows Defender - c:\programme\Windows Defender\MSASCui.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-07 12:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@DACL=(02 0010)
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
@DACL=(02 0010)
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@DACL=(02 0010)
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@DACL=(02 0010)
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
"70403E1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
"OODEFRAG08.00.00.01WORKSTATION"="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"
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
"OODEFRAG10.00.00.01WORKSTATION"="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"

[HKEY_LOCAL_MACHINE\software\Philips]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\KMWDKUSB\KyoceraFS-1020D\6&16670c5b&0&KMWDKUSB]
@Denied: (C D) (Everyone)
"DeviceDesc"="Kyocera Mita FS-1020D KX"
"LocationInformation"="KMUSB001"
"Capabilities"=dword:000000c0
"ConfigFlags"=dword:00000000
"HardwareID"=multi:"KMWDKUSB\\KyoceraFS-1020D43AD\00\00"
"CompatibleIDs"=multi:"KyoceraFS-1020D43AD\00\00"
"ClassGUID"="{4D36E979-E325-11CE-BFC1-08002BE10318}"
"Class"="Printer"
"Driver"="{4D36E979-E325-11CE-BFC1-08002BE10318}\\0002"
"Mfg"="Kyocera"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3008)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\wltrysvc.exe
c:\windows\System32\bcmwltry.exe
c:\windows\system32\hpb2ksrv.exe
c:\windows\system32\hpbhksrv.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\pctspk.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\System32\snmp.exe
c:\windows\system32\STacSV.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-07  12:16:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-07 11:16

Vor Suchlauf: 17 Verzeichnis(se), 217.500.651.520 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 217.325.182.976 Bytes frei

- - End Of File - - A752891DCB323A5AF2085D6B9E300822

cosinus · 07.02.2011, 14:14

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"jdsfjsdijf.exe"=-

File::
c:\jdsfjsdijf.exe\jdsfjsdijf.exe

Folder::
c:\jdsfjsdijf.exe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

helend · 07.02.2011, 15:00

Hallo Arne,

und nochmals

!

Hier die neue ComboFix.txt:

Code:

ATTFilter

ComboFix 11-02-06.02 - frank 07.02.2011  14:23:41.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1559 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\frank\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\frank\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {B02B524A-0C22-45DD-A6D1-70C7010CE58E}

FILE ::
"c:\jdsfjsdijf.exe\jdsfjsdijf.exe"
.

(((((((((((((((((((((((   Dateien erstellt von 2011-01-07 bis 2011-02-07  ))))))))))))))))))))))))))))))
.

2011-02-07 11:59 . 2011-02-07 11:59	--------	d-----w-	c:\dokumente und einstellungen\frank\Anwendungsdaten\Avira
2011-02-07 11:57 . 2011-02-07 11:51	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-02-07 11:57 . 2011-02-07 11:51	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2011-02-07 11:57 . 2011-02-07 11:51	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-02-07 11:57 . 2011-02-07 11:51	79432	----a-w-	c:\windows\system32\drivers\avfwim.sys
2011-02-07 11:57 . 2011-02-07 11:51	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2011-02-07 11:57 . 2011-02-07 11:51	102856	----a-w-	c:\windows\system32\drivers\avfwot.sys
2011-02-07 11:57 . 2011-02-07 11:57	--------	d-----w-	c:\programme\Avira
2011-02-07 10:47 . 2011-02-07 10:47	--------	d-----w-	c:\programme\CCleaner
2011-02-07 07:50 . 2011-02-07 07:50	--------	d-----w-	C:\_OTL
2011-02-04 17:05 . 2011-02-04 17:05	--------	d-----w-	c:\dokumente und einstellungen\frank\Anwendungsdaten\Malwarebytes
2011-02-04 17:05 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-04 17:05 . 2011-02-04 17:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-04 17:04 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-02-04 16:39 . 2011-02-04 16:39	--------	d-----w-	c:\dokumente und einstellungen\frank\Anwendungsdaten\Photo! Web Album
2011-02-03 12:23 . 2011-02-03 11:11	602624	----a-w-	C:\OTL.exe
2011-02-03 10:23 . 2011-02-03 10:23	--------	d-----w-	c:\dokumente und einstellungen\Frank USER
2011-02-03 10:00 . 2011-02-03 10:00	--------	d--h--w-	c:\windows\system32\GroupPolicy
2011-01-27 09:35 . 2011-01-27 09:35	51200	---ha-w-	c:\windows\system32\asr_si64.dll
2011-01-26 10:09 . 2011-01-26 10:09	--------	d-----w-	c:\programme\DVDVideoSoft

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-04 20:24 . 2009-08-07 18:28	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
2010-11-18 18:12 . 2005-10-17 20:23	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-09 14:51 . 2004-08-04 12:00	249856	----a-w-	c:\windows\system32\odbc32.dll
2008-04-22 18:40 . 2008-04-22 18:40	2808832	----a-w-	c:\programme\Gemeinsame DateienDDBACSetup.msi
2004-02-09 03:48 . 2005-07-04 15:35	899072	----a-w-	c:\programme\audiograbber.exe
2002-01-03 20:50 . 2005-07-04 15:35	155648	----a-w-	c:\programme\WMA8Connect.dll
2006-05-03 09:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((   SnapShot@2011-02-07_11.13.25   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-02-07 12:19 . 2011-02-07 12:19	16384              c:\windows\Temp\Perflib_Perfdata_348.dat
+ 2011-02-07 11:57 . 2011-02-07 11:51	28520              c:\windows\system32\drivers\ssmdrv.sys
+ 2005-10-17 20:27 . 2011-02-07 12:03	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2005-10-17 20:27 . 2010-07-28 14:19	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2005-10-17 20:27 . 2010-07-28 14:19	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2005-10-17 20:27 . 2011-02-07 12:03	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2005-10-17 20:27 . 2010-07-28 14:19	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2011-02-07 12:21 . 2011-02-07 12:03	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2010-05-26 06:47 . 2011-02-04 18:37	3817984              c:\windows\Installer\56c86.msi
+ 2010-05-26 06:47 . 2011-02-07 12:30	3817984              c:\windows\Installer\56c86.msi
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE" [2005-08-08 16384]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-11-03 28160]
"HP Network Registry Agent"="c:\windows\system32\hpnra.exe" [2000-10-26 49152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-02-07 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2009-5-17 1085440]

c:\dokumente und einstellungen\frank\Startmen\Programme\Autostart\
Spamihilator.lnk - c:\programme\Spamihilator\spamihilator.exe [2010-4-30 1512448]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Belkin Wireless Utility.lnk - c:\programme\Belkin\F5D7001v2000\Belkinwcui.exe [2007-11-20 1572864]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\DSL-Manager\DslMgr.exe [2009-5-17 1085440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"LogonType"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceStartMenuLogOff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips SA011 Gere-Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Philips SA011 Gere-Manager.lnk
backup=c:\windows\pss\Philips SA011 Gere-Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^frank^Startmenü^Programme^Autostart^Spamihilator.lnk]
path=c:\dokumente und einstellungen\frank\Startmenü\Programme\Autostart\Spamihilator.lnk
backup=c:\windows\pss\Spamihilator.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-12-11 13:57	948672	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-21 23:57	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AsioReg]
2005-08-08 03:54	73728	----a-w-	c:\windows\system32\CTASIO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-01 06:39	1164584	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlrblckr.exe]
2006-09-27 11:25	57460	----a-w-	c:\programme\Gigaset DECT\gigaset-m34-usb\dlrblckr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]
2004-10-19 23:01	86016	----a-w-	c:\programme\Sonic\Sonic Solutions Product CD\Media Experience\DMXLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
2006-04-06 09:51	49152	------w-	c:\programme\CyberLink\PowerDVD\DVDLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Proxy Server]
2007-06-25 15:57	918	----a-w-	c:\programme\Hewlett-Packard\ProxyService\ProxyService.lnk

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
2006-02-16 07:34	20480	----a-w-	c:\programme\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 13:40	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-10-11 15:49	14940040	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07	2260480	------w-	c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2007-08-01 18:17	185896	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WinDefend"=2 (0x2)
"iPod Service"=3 (0x3)
"Macromedia Licensing Service"=3 (0x3)
"UPS"=3 (0x3)
"OOCleverCacheAgent"=2 (0x2)
"gupdate1c997898b0c86dc"=2 (0x2)
"gusvc"=3 (0x3)
"O&O Defrag"=3 (0x3)
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"UxTuneUp"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"Bonjour Service"=2 (0x2)
"CCALib8"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"=c:\programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SerExt"=SerExt.exe /unplug 
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"Acronis*True*Image Monitor"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"IDTSysTrayApp"=sttray.exe
"Spamihilator"="c:\programme\Spamihilator\spamihilator.exe"
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"nwiz"=nwiz.exe /install
"CTxfiHlp"=CTXFIHLP.EXE
"OOCCCTRL.EXE"="c:\programme\OO Software\CleverCache\OOCCCTRL.EXE" /tasktray
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"d:\\Games\\Counter Strike Source\\srcds.exe"=
"c:\\Programme\\Microsoft Business Solutions-Navision\\Client\\AtDebug.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SmartStore\\SmartStore.biz 5\\SMBiz5.exe"=
"c:\\Programme\\Java\\jre1.6.0_01\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\hpbspsvr.exe"=
"c:\\Programme\\Java\\jre1.6.0_02\\bin\\javaw.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"c:\\Programme\\Macromedia\\Fireworks MX\\Fireworks.exe"=
"c:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"=
"d:\\Games\\Counter Strike Source\\hl2.exe"=
"d:\\Games\\Battlefield 1942\\BF1942.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"d:\\Games\\Age of Empires 2\\empires2_ORI.exe"=
"d:\\Games\\Command and Conquer - Red Alert\\GAME.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Spamihilator\\spamihilator.exe"=
"c:\\Programme\\Spamihilator\\cdcc.exe"=
"c:\\Programme\\Spamihilator\\dccproc.exe"=
"d:\\Games\\Freespace2\\FS2.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\Games\\Age of Empires 2\\empires2.EXE"=
"c:\\Programme\\MailStore Home\\MailStoreLocal.exe"=
"d:\\Games\\Age of Empires 2\\age2_x1.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [07.02.2011 12:57 339624]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.02.2011 12:57 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [07.02.2011 12:57 403624]
R2 CAPI;CAPI 2.0 Service;c:\windows\system32\drivers\capi.sys [06.09.2007 12:28 28740]
R2 NDISCAPI;NDIS CAPI Service;c:\windows\system32\drivers\ndiscapi.sys [06.09.2007 12:28 41037]
R2 SPTimer;SharePoint Zeitgeber-Dienst;c:\programme\Gemeinsame Dateien\Microsoft Shared\web server extensions\50\bin\OWSTIMER.EXE [16.02.2001 00:42 345504]
R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [01.03.2005 10:36 8448]
R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [08.09.2004 15:22 263751]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [17.05.2009 13:50 13824]
S2 PC_FRANKDECKER;Microsoft Business Solutions-Navision Database Server PC_FRANKDECKER;c:\programme\Microsoft Business Solutions-Navision\Database Server\SERVER.exe [29.08.2005 12:22 772920]
S3 9030F945;9030F945;c:\windows\system32\9030F945.exe --> c:\windows\system32\9030F945.exe [?]
S3 Atkcfg;Cordless Device Configuration;c:\windows\system32\drivers\atkcfg.sys [01.03.2005 12:49 46592]
S3 bDMusicb;bDMusicb;\??\c:\dokume~1\frank\LOKALE~1\Temp\bDMusicb.sys --> c:\dokume~1\frank\LOKALE~1\Temp\bDMusicb.sys [?]
S3 CamDrv.Pixela;JVC Web Camera;c:\windows\system32\drivers\camdrv.sys [04.07.2007 10:10 9125]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [17.05.2009 14:22 26816]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [28.07.2009 11:20 36608]
S3 Gig5gu;Cordless Internet Access;c:\windows\system32\drivers\gig5gu.sys [01.03.2005 12:51 55680]
S3 Gigsrf;Cordless Device Line Access;c:\windows\system32\drivers\gigsrf.sys [01.03.2005 12:50 94592]
S3 Gigtnc;Cordless PC Control;c:\windows\system32\drivers\gigtnc.sys [01.03.2005 12:49 45440]
S3 HotSpotFSvc;Hotspot Manager;"c:\programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" --> c:\programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe [?]
S3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [08.09.2004 15:22 50759]
S3 KMWDKUSB;KM-WDK USB;c:\windows\system32\drivers\KMWDKUSB.sys [18.10.2005 15:56 41667]
S3 Normandy;Normandy SR2; [x]
S3 phil2vid;Philips VGA-Kamera (USB);c:\windows\system32\drivers\philcam2.sys [29.01.2010 12:47 173696]
S3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [08.11.2006 11:54 113408]
S3 Sieupapp;Cordless Device Update;c:\windows\system32\drivers\sieupapp.sys [01.03.2005 12:46 32128]
S3 Sieupdfu;Cordless Device in update mode;c:\windows\system32\drivers\sieupdfu.sys [01.03.2005 12:47 32000]
S3 TDslMgrService;DSL-Manager;c:\programme\DSL-Manager\DslMgrSvc.exe [17.05.2009 13:50 294912]
S3 vmdmd;Softmodem/Fax Port Driver;c:\windows\system32\DRIVERS\vmdmd.sys --> c:\windows\system32\DRIVERS\vmdmd.sys [?]
S3 xControlCOM;xControlCOM;c:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [01.03.2005 09:45 327680]
S4 gupdate1c997898b0c86dc;Google Update Service (gupdate1c997898b0c86dc);"c:\programme\Google\Update\GoogleUpdate.exe" /svc --> c:\programme\Google\Update\GoogleUpdate.exe [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SSMDRV

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners

2010-05-14 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title = Windows Internet Explorer
uInternet Settings,ProxyOverride = localhost;<local>;*.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_5F1A57F0B9B89E2E.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B}
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044}
FF - ProfilePath - c:\dokumente und einstellungen\frank\Anwendungsdaten\Mozilla\Firefox\Profiles\5251vv0e.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&ai=13054
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - 
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.http.max-persistent-connections-per-server - 3
FF - user.js: nglayout.initialpaint.delay - 50
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: browser.blink_allowed - true
FF - user.js: network.prefetch-next - true
FF - user.js: layout.spellcheckDefault - 1
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.tabs.opentabfor.middleclick - true
FF - user.js: browser.tabs.tabMinWidth - 100
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-07 14:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@DACL=(02 0010)
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
@DACL=(02 0010)
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@DACL=(02 0010)
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@DACL=(02 0010)
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
"70403E1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
"OODEFRAG08.00.00.01WORKSTATION"="28C594627E2E8EEF24A67C7B6A50E85A44BDA4BC70F60DF387609AD40A2B740BD1851B2D8C3B5FE5A70BB68A49C5A1ECBE153FBD86E6B3DC55F708DCBE62221461307A963B673FDF8E6F708DF366326D06B4684B45F2CAB6917A8636F432AB1081EB642B87E1C4386DB33012E1E89787BED51C13C179521D0E9926D0FE44B82ACF011E3A9FBCDBCACED98F67C0E522E6FD52EA07C63D20AC0D270B5E63A4C294DA5C02D968EBC3F8B107BE2471DD77404F29F65ED066DF0AC69D6CD7DBC319012A0F7CDFF8C811FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E6675D575E7D6A3B9808A2D97226D213B555A2D97226D213B55506D5B761EA1A59E613A9F6E2CE4F528ADA76646710038A90BD06600A211A3E03C1BC4BFA8840A692DC487F0C3478B742C69BD991D98CF77DE1B45516DFB6DCE434433A58E02BC07FE7904F1AB7EBE62E6538AD451DED8975FCBB93D7DA0D00961759D3A7034E6FF6FDBD51F1C5F710D9347802BACBF4F9E95B52137D23870C8C2AE30C30C2D0E091F0010F8E1621C9A533799CC19A21E71E4F24F34B8FC3C912AEB87CC6370C23BE927FBBFA9E9D0DC4674DE7BB0327D4ACADCE7A97BA9362446CA5DED8BA8EAC41BBD3ACD99B59B73ED97AF09F41EEA70150660B4E82FAE615ADE893686C9BD42F4709D8600E730AEE167A6BF6D7962B5C16F1B2ED88B5C94941391F8731A9577516A05FD6BA41AA86AD3CAAE00BEC8DD35FEB9F0B3430E1FB7A3CA960ADE1D5508B907F1CA7482209B49FAA0F6478E0509143A3CBAE0B6C1C2E8E7DADCF2454D30E409D9FA1C45FCCC47D87C7B1EF9C8C175CB7EB669D87E738410D4043833BE68A0FC468BAA6317FF89E85648240999B5E8CF43B8CEFB6F7F6D76AFBFEC4D6446FCBA08E4511CF9FF2BF87D5AD8996E2579F9B9C9840E1B5CD49CC5AB7E4577AB1BC02C0595B528158949A9BCA22B71977D38D07447FD3DD220392666810516BC89A5EBD5412B74DCFC26A4E381102CA3BDDD1058D543C03DFE4B9C0D2293DCEAF92CDDDD47360FC87644A961692DEDA1D6393373717AE8AF5C1E69EF647773065458D0840F29263AE87AEB3CA979E7C218022D1C6D6222FD4E1E0C61EB5C0ECEEC7FEBABEB9F6217BADB1F5FEC5F2B84BC26F198652737D74039516D171BC38542327073B229A3025CD92C61F75F0ECA52F14EA0502DF57CFD394FDE2AE759920D4AD11673B705BE9CFB39D5DB015C93EBAC8B5140F8BF3E5F88F0163D1D4EA624D6093364ACCC10914988A2EBABC5427D16DFBC954FE5BB70A60382AF6AD5B2FF1B05CE0C36959C76CEB2FCA07AA63F45206D50066A36CCD9282CFD36D32ED1D1C32CA635763E76F1EFB4230BE05A64210376ED48A4B5731921587BEB4FCF8C7"
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
"OODEFRAG10.00.00.01WORKSTATION"="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"

[HKEY_LOCAL_MACHINE\software\Philips]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\KMWDKUSB\KyoceraFS-1020D\6&16670c5b&0&KMWDKUSB]
@Denied: (C D) (Everyone)
"DeviceDesc"="Kyocera Mita FS-1020D KX"
"LocationInformation"="KMUSB001"
"Capabilities"=dword:000000c0
"ConfigFlags"=dword:00000000
"HardwareID"=multi:"KMWDKUSB\\KyoceraFS-1020D43AD\00\00"
"CompatibleIDs"=multi:"KyoceraFS-1020D43AD\00\00"
"ClassGUID"="{4D36E979-E325-11CE-BFC1-08002BE10318}"
"Class"="Printer"
"Driver"="{4D36E979-E325-11CE-BFC1-08002BE10318}\\0002"
"Mfg"="Kyocera"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(2004)
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(3732)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-02-07  14:33:57
ComboFix-quarantined-files.txt  2011-02-07 13:33
ComboFix2.txt  2011-02-07 11:28

Vor Suchlauf: 18 Verzeichnis(se), 216.973.971.456 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 216.955.457.536 Bytes frei

- - End Of File - - 62192F9E2AE015628C6F1CD9332AD950

cosinus · 07.02.2011, 15:07

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

helend · 07.02.2011, 16:03

Hallo Arne,

PC wird seit Anwendung der Cofi.exe mit jedem Scan bzw. neuem Check-Programm langsamer und schwerfälliger. Auch einige Konfigurationen im Startmenü lassen sich nicht mehr vornehmen (z.B. unter "Verbinden mit" im Task-Manager).

Hier die Logs:

GMER:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2011-02-07 15:26:24
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Maxtor_7 rev.BANC
Running: n0hlrngc.exe; Driver: C:\DOKUME~1\frank\LOKALE~1\Temp\agldaaow.sys


---- Services - GMER 1.0.15 ----

Service  C:\Programme\Microsoft (*** hidden *** )  [MANUAL] MSSQLSERVER      <-- ROOTKIT !!!
Service  C:\Programme\Microsoft (*** hidden *** )  [MANUAL] SQLSERVERAGENT   <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

und der von OSAM.log

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:54:27 on 07.02.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - "O&O Software GmbH" - C:\WINDOWS\system32\OODBS.exe

[Common]
-----( %SystemRoot%\Tasks )-----
"OGALogon.job" - ? - C:\WINDOWS\system32\OGAEXEC.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BDEADMIN.CPL" - ? - C:\WINDOWS\system32\BDEADMIN.CPL
"Ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\Ddbaccpl.cpl
"ddBACCTM.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddBACCTM.cpl
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"ImageDrive.cpl" - "Ahead Software AG" - C:\WINDOWS\system32\ImageDrive.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Professional" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir Professional " - "Avira GmbH" - C:\PROGRA~1\Avira\AntiVir Desktop\avconfig.cpl
"Avira AntiVir Windows Workstation Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"AXIS Media Control" - "Axis Communications" - C:\Programme\Axis Communications\AXIS Media Control Embedded\AxisMediaControlEmb.dll
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AMD Low Level Device Driver" (AmdLLD) - ? - C:\WINDOWS\System32\DRIVERS\AmdLLD.sys  (File not found)
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys
"Apple Mobile USB Driver" (USBAAPL) - ? - C:\WINDOWS\System32\Drivers\usbaapl.sys  (File not found)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"bDMusicb" (bDMusicb) - ? - C:\DOKUME~1\frank\LOKALE~1\Temp\bDMusicb.sys  (File not found)
"CAPI 2.0 Service" (CAPI) - "SIEMENS AG" - C:\WINDOWS\System32\DRIVERS\capi.sys
"catchme" (catchme) - ? - C:\DOKUME~1\frank\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Cordless Device Configuration" (Atkcfg) - "Siemens AG" - C:\WINDOWS\System32\Drivers\atkcfg.sys
"Cordless Device in update mode" (Sieupdfu) - "Siemens AG" - C:\WINDOWS\System32\Drivers\Sieupdfu.sys
"Cordless Device Line Access" (Gigsrf) - "Siemens AG" - C:\WINDOWS\System32\Drivers\gigsrf.sys
"Cordless Device Update" (Sieupapp) - "Siemens AG" - C:\WINDOWS\System32\Drivers\Sieupapp.sys
"Cordless Internet Access" (Gig5gu) - "Siemens AG" - C:\WINDOWS\System32\Drivers\gig5gu.sys
"Cordless PC Control" (Gigtnc) - "Siemens AG" - C:\WINDOWS\System32\Drivers\gigtnc.sys
"Creative OS Services Driver" (ossrv) - "Creative Technology Ltd." - C:\WINDOWS\System32\DRIVERS\ctoss2k.sys
"Creative SoundFont Management Device Driver" (ctsfm2k) - "Creative Technology Ltd" - C:\WINDOWS\System32\DRIVERS\ctsfm2k.sys
"DectEnum" (DectEnum) - "Siemens AG" - C:\WINDOWS\System32\Drivers\DectEnum.sys
"drvmcdb" (drvmcdb) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\drvmcdb.sys
"drvnddm" (drvnddm) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\drvnddm.sys
"DSL-Manager Service" (TSMPacket) - "T-Systems" - C:\WINDOWS\System32\DRIVERS\tsmpkt.sys
"dsltestSp5 NDIS Protocol Driver" (dsltestSp5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\System32\Drivers\dsltestSp5.sys
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"FsUsbExDisk" (FsUsbExDisk) - ? - C:\WINDOWS\system32\FsUsbExDisk.SYS  (File found, but it contains no detailed information)
"HPFXBULK" (HPFXBULK) - "Hewlett Packard" - C:\WINDOWS\System32\drivers\hpfxbulk.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Intel AHCI Controller" (iaStor) - "Intel Corporation" - C:\WINDOWS\System32\drivers\iaStor.sys
"Intel(R) PRO/1000 PCI Express Network Connection Driver" (e1express) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\e1e5132.sys
"ISDN USB Interface (Ver. 1.20.0032)" (IUAPIWDM) - "SIEMENS AG" - C:\WINDOWS\System32\DRIVERS\IUAPIWDM.sys
"ISDN Wan driver (Ver. 1.20.0032)" (HRCMPA) - "SIEMENS AG" - C:\WINDOWS\System32\DRIVERS\hrcmpa.sys
"JVC Web Camera" (CamDrv.Pixela) - "Pixela" - C:\WINDOWS\System32\Drivers\CamDrv.sys
"KM-WDK USB" (KMWDKUSB) - "KYOCERA MITA" - C:\WINDOWS\System32\Drivers\KMWDKUSB.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Logitech SetPoint HID Mouse Filter Driver" (LHidKe) - "Logitech, Inc." - C:\WINDOWS\System32\DRIVERS\LHidKE.Sys
"Logitech SetPoint Mouse Filter Driver" (LMouKE) - "Logitech, Inc." - C:\WINDOWS\System32\DRIVERS\LMouKE.Sys
"NDIS CAPI Service" (NDISCAPI) - "SIEMENS AG" - C:\WINDOWS\System32\DRIVERS\ndiscapi.sys
"NETGEAR WG311v3 802.11g Wireless PCI Adapter for Windows XP (8335)" (W8335XP) - ? - C:\WINDOWS\System32\DRIVERS\WG311v3XP.sys  (File not found)
"Normandy SR2" (Normandy) - ? - C:\WINDOWS\system32\drivers\Normandy.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Seagate DiscWizard FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"Seagate DiscWizard Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"siellif" (siellif) - "Siemens AG" - C:\WINDOWS\System32\Drivers\siellif.sys
"Softmodem/Fax Port Driver" (vmdmd) - ? - C:\WINDOWS\System32\DRIVERS\vmdmd.sys  (File not found)
"sscdbhk5" (sscdbhk5) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\sscdbhk5.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"ssrtln" (ssrtln) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\ssrtln.sys
"tfsnboio" (tfsnboio) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnboio.sys
"tfsncofs" (tfsncofs) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsncofs.sys
"tfsndrct" (tfsndrct) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsndrct.sys
"tfsndres" (tfsndres) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsndres.sys
"tfsnifs" (tfsnifs) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnifs.sys
"tfsnopio" (tfsnopio) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnopio.sys
"tfsnpool" (tfsnpool) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnpool.sys
"tfsnudf" (tfsnudf) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnudf.sys
"tfsnudfa" (tfsnudfa) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnudfa.sys
"upperdev" (upperdev) - ? - C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll
 "CorelDRAW Shell Extension Component" - ? -   (File not found | COM-object registry key not found)
{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD} "CorelDRAW Shell Extension Component" - "Corel Corporation" - C:\Programme\Corel\Corel Graphics 11\DRAW\CDRVIEWER\CrlShell110.dll
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451} "OODShellExtObj Class" - "O&O Software GmbH" - C:\PROGRA~1\OOSOFT~1\Defrag Professional\oodsh.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{3BC61171-1BC3-4E98-A54F-40B78E0C655F} "Password Depot 2 Context Menu Handler" - "AceBIT GmbH" - C:\WINDOWS\system32\pwd_shell.dll
{404FAB0A-9C2E-4638-BB2E-89792E95FBA3} "Password Depot 2 Context Menu Handler" - "AceBIT GmbH" - C:\WINDOWS\system32\pwd_shell.dll
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealOne Player\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B8323370-FF27-11D2-97B6-204C4F4F5020} "SmartFTP Shell Extension DLL" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "&Yahoo! Toolbar" - ? -   (File not found | COM-object registry key not found)
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "{11352A67-0178-46B1-8855-D50B2F81C054}" - ? -   (File not found | COM-object registry key not found)
<binary data> "{1BB22D38-A411-4B13-A746-C2A4F4EC7344}" - ? -   (File not found | COM-object registry key not found)
<binary data> "{C55BBCD6-41AD-48AD-9953-3609C48EACC7}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{DE625294-70E6-45ED-B895-CFFA13AEB044} "AxisMediaControlEmb Class" - "Axis Communications" - C:\Programme\Axis Communications\AXIS Media Control Embedded\AxisMediaControlEmb.dll / 
{271A3CF5-5A54-447B-A08F-BE805F0DA60B} "DataDesign DDBAC Plug-In" - "DataDesign AG" - C:\WINDOWS\system32\AXFOAM.DLL / 
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / 
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / 
{5D637FAD-E202-48D1-8F18-5B9C459BD1E3} "{5D637FAD-E202-48D1-8F18-5B9C459BD1E3}" - ? -   (File not found | COM-object registry key not found) / 
{6E5E167B-1566-4316-B27F-0DDAB3484CF7} "{6E5E167B-1566-4316-B27F-0DDAB3484CF7}" - ? -   (File not found | COM-object registry key not found) / 
{745395C8-D0E1-4227-8586-624CA9A10A8D} "{745395C8-D0E1-4227-8586-624CA9A10A8D}" - ? -   (File not found | COM-object registry key not found) / hxxp://134.226.124.250/activex/AMC.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
{9F1C11AA-197B-4942-BA54-47A8489BB47F} "{9F1C11AA-197B-4942-BA54-47A8489BB47F}" - ? -   (File not found | COM-object registry key not found) / 
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / 
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / 
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / 
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / 
{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / 
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "AcroIEHlprObj Class" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
{AE7CD045-E861-484f-8273-0445EE161910} "AcroIEToolbarHelper Class" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\system32\dla\tfswshx.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}" - ? -   (File not found | COM-object registry key not found)
{9030D464-4C02-4ABF-8ECC-5164760863C6} "{9030D464-4C02-4ABF-8ECC-5164760863C6}" - ? -   (File not found | COM-object registry key not found)
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Belkin Wireless Utility.lnk" - "Belkin" - C:\Programme\Belkin\F5D7001v2000\Belkinwcui.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\frank\Startmenü\Programme\Autostart\desktop.ini
"Spamihilator.lnk" - "Michel Krämer" - C:\Programme\Spamihilator\spamihilator.exe  (Shortcut exists | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"CTHelper" - "Creative Technology Ltd" - CTHELPER.EXE
"Logitech Hardware Abstraction Layer" - "Logitech Inc." - KHALMNPR.EXE
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Broadcom 802.11 Network Adapter Logon Provider" - ? - C:\WINDOWS\System32\BCMLogon.dll  (File not found)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"1und1 Fax Monitor" - "1&1 Internet AG" - C:\WINDOWS\system32\UI1&1MON.DLL
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll
"Dell Network Port" - "Lexmark International, Inc." - C:\WINDOWS\system32\LEXLMPM.DLL
"EPSON V4 Monitor3SA" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\EBPMON3.DLL
"KM Language Monitor" - "KYOCERA MITA Corporation" - C:\WINDOWS\system32\KMPJLMN.DLL
"KM USB Port" - "KYOCERA MITA" - C:\WINDOWS\system32\KM-PMKN.DLL
"KPrint Port" - "KYOCERA MITA CORPORATION" - C:\WINDOWS\system32\KPrnMon.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"9030F945" (9030F945) - ? - C:\WINDOWS\system32\9030F945.exe  (File not found)
"Acronis Scheduler2 Service" (AcrSch2Svc) - ? - "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"  (File not found)
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir MailGuard" (AntiVirMailService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Avira AntiVir WebGuard" (AntiVirWebService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
"Broadcom Wireless LAN Tray Service" (wltrysvc) - ? - C:\WINDOWS\System32\wltrysvc.exe  (File found, but it contains no detailed information)
"DSL-Manager" (TDslMgrService) - "T-Systems Enterprise Services GmbH" - C:\Programme\DSL-Manager\DslMgrSvc.exe
"Hotspot Manager" (HotSpotFSvc) - ? - "C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe"  (File not found)
"HP Status" (HP Status) - "Hewlett-Packard Company" - C:\WINDOWS\system32\hpb2ksrv.exe
"HP Status Print" (HP Status Print) - ? - C:\WINDOWS\system32\hpbhksrv.exe  (File found, but it contains no detailed information)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"LexBce Server" (LexBceS) - "Lexmark International, Inc." - C:\WINDOWS\system32\LEXBCES.EXE
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Microsoft Business Solutions-Navision Database Server PC_FRANKDECKER" (PC_FRANKDECKER) - "Microsoft Corporation" - C:\Programme\Microsoft Business Solutions-Navision\Database Server\SERVER.exe
"MSSQLSERVER" (MSSQLSERVER) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
"MSSQLServerADHelper" (MSSQLServerADHelper) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZinw12.dll
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZipm12.dll
"ServiceLayer" (ServiceLayer) - "Nokia." - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"SharePoint Zeitgeber-Dienst" (SPTimer) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\50\bin\OWSTIMER.EXE
"SQLSERVERAGENT" (SQLSERVERAGENT) - "Microsoft Corporation" - C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"xControlCOM" (xControlCOM) - "Siemens" - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"AVSDA" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avsda.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Hier die MBRCheck_xxx.txt

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000003fc

Kernel Drivers (total 144):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xB85A8000 \WINDOWS\system32\KDCOM.DLL
  0xB84B8000 \WINDOWS\system32\BOOTVID.dll
  0xB7F78000 ACPI.sys
  0xB85AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB7F67000 pci.sys
  0xB80A8000 isapnp.sys
  0xB8670000 pciide.sys
  0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xB80B8000 MountMgr.sys
  0xB7F48000 ftdisk.sys
  0xB85AC000 dmload.sys
  0xB7F22000 dmio.sys
  0xB8330000 PartMgr.sys
  0xB80C8000 VolSnap.sys
  0xB7F0A000 atapi.sys
  0xB7E35000 iaStor.sys
  0xB80D8000 disk.sys
  0xB80E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB7E15000 fltmgr.sys
  0xB7E03000 sr.sys
  0xB7DED000 drvmcdb.sys
  0xB80F8000 PxHelp20.sys
  0xB7DD6000 KSecDD.sys
  0xB7DC3000 WudfPf.sys
  0xB7D36000 Ntfs.sys
  0xB7D09000 NDIS.sys
  0xB7C9E000 timntr.sys
  0xB8108000 vvoice.sys
  0xB7C3C000 vpctcom.sys
  0xB7BA8000 vmodem.sys
  0xB7B8E000 Mup.sys
  0xB81B8000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB680F000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB67FB000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB67D3000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB67A6000 \SystemRoot\system32\DRIVERS\e1e5132.sys
  0xB8450000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB6782000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xB8458000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB66B4000 \SystemRoot\system32\drivers\P17.sys
  0xB6690000 \SystemRoot\system32\drivers\portcls.sys
  0xB81C8000 \SystemRoot\system32\drivers\drmk.sys
  0xB666D000 \SystemRoot\system32\drivers\ks.sys
  0xB663B000 \SystemRoot\system32\DRIVERS\ctoss2k.sys
  0xB6614000 \SystemRoot\system32\DRIVERS\ctsfm2k.sys
  0xB8460000 \SystemRoot\System32\Drivers\AnyDVD.sys
  0xB85EC000 \SystemRoot\system32\drivers\sscdbhk5.sys
  0xB81D8000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xB81E8000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB8468000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
  0xB81F8000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xB65D3000 \SystemRoot\system32\DRIVERS\hrcmpa.sys
  0xB85EE000 \SystemRoot\system32\DRIVERS\KMONAPI.SYS
  0xB87AC000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xB8208000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xB6FCE000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB65BC000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xB8218000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xB8228000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xB8470000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB8478000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xB8480000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB658C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xB8238000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xB8488000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB8490000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xB85F0000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB652E000 \SystemRoot\system32\DRIVERS\update.sys
  0xB858C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB8590000 \SystemRoot\System32\Drivers\DectEnum.sys
  0xB8594000 \SystemRoot\system32\DRIVERS\tsmpkt.sys
  0xB82A8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xA8315000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xB8656000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB8658000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xA829F000 \SystemRoot\System32\Drivers\Null.SYS
  0xB865A000 \SystemRoot\System32\Drivers\Beep.SYS
  0xA92FA000 \SystemRoot\system32\drivers\ssrtln.sys
  0xA92F2000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xA92EA000 \SystemRoot\System32\drivers\vga.sys
  0xB865C000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xB865E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xA92E2000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xA8908000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xAACF1000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xA7CC0000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xA82E5000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xA7C67000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xA7C35000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xA7C0F000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xAACE1000 \SystemRoot\System32\drivers\ws2ifsl.sys
  0xA7BED000 \SystemRoot\System32\drivers\afd.sys
  0xA82D5000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xA8900000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xA7B72000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xA82C5000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xA7B02000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xA82B5000 \SystemRoot\System32\Drivers\Fips.SYS
  0xA88F8000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xA915B000 \SystemRoot\system32\DRIVERS\usbscan.sys
  0xA88F0000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xA9157000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xA81D2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xA914F000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xA88E8000 \SystemRoot\system32\DRIVERS\LHidKE.Sys
  0xA914B000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xA7AF1000 \SystemRoot\system32\DRIVERS\LMouKE.Sys
  0xA7ACB000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xA52B8000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xA3448000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xA29EF000 \SystemRoot\System32\Drivers\dump_iaStor.sys
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xA2FA2000 \SystemRoot\System32\drivers\Dxapi.sys
  0xA3120000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xA2F72000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xA2779000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB8128000 \SystemRoot\system32\drivers\drvnddm.sys
  0xB2E68000 \SystemRoot\system32\DRIVERS\tifsfilt.sys
  0xA8274000 \SystemRoot\system32\dla\tfsndres.sys
  0xA2763000 \SystemRoot\system32\dla\tfsnifs.sys
  0xA2F8A000 \SystemRoot\system32\dla\tfsnopio.sys
  0xB8666000 \SystemRoot\system32\dla\tfsnpool.sys
  0xA88D0000 \SystemRoot\system32\dla\tfsnboio.sys
  0xA3216000 \SystemRoot\system32\dla\tfsncofs.sys
  0xB87C5000 \SystemRoot\system32\dla\tfsndrct.sys
  0xA274A000 \SystemRoot\system32\dla\tfsnudf.sys
  0xA2731000 \SystemRoot\system32\dla\tfsnudfa.sys
  0xB8288000 \SystemRoot\system32\DRIVERS\ndiscapi.sys
  0xA271D000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xA2B0C000 \SystemRoot\system32\DRIVERS\capi.sys
  0xA265D000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
  0xA2571000 \SystemRoot\system32\DRIVERS\srv.sys
  0xA250C000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB231F000 \SystemRoot\system32\drivers\sysaudio.sys
  0xA3438000 \SystemRoot\system32\DRIVERS\secdrv.sys
  0xA2F28000 \SystemRoot\System32\Drivers\TDTCP.SYS
  0xA14B9000 \SystemRoot\System32\Drivers\RDPWD.SYS
  0xA1429000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 46):
       0 System Idle Process
       4 System
     916 C:\WINDOWS\system32\smss.exe
    1052 csrss.exe
    1148 C:\WINDOWS\system32\winlogon.exe
    1224 C:\WINDOWS\system32\services.exe
    1236 C:\WINDOWS\system32\lsass.exe
    1448 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1480 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
     256 C:\WINDOWS\system32\svchost.exe
     392 svchost.exe
     476 C:\WINDOWS\system32\svchost.exe
     540 C:\WINDOWS\system32\svchost.exe
     696 svchost.exe
    1076 C:\WINDOWS\system32\wltrysvc.exe
    1104 C:\WINDOWS\system32\bcmwltry.exe
    1308 C:\WINDOWS\system32\spoolsv.exe
    1508 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1620 C:\Programme\Avira\AntiVir Desktop\avmailc.exe
    1628 C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
    1680 C:\WINDOWS\system32\hpb2ksrv.exe
    1712 C:\WINDOWS\system32\hpbhksrv.exe
    1724 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    1764 C:\WINDOWS\system32\svchost.exe
    1852 C:\WINDOWS\system32\pctspk.exe
     640 C:\WINDOWS\system32\svchost.exe
     828 C:\WINDOWS\system32\tcpsvcs.exe
    1004 C:\WINDOWS\system32\snmp.exe
    1096 C:\Programme\Gemeinsame Dateien\Microsoft Shared\web server extensions\50\bin\OWSTIMER.EXE
    1972 C:\WINDOWS\system32\svchost.exe
    2908 C:\WINDOWS\CTHELPER.EXE
    2940 C:\WINDOWS\system32\hpnra.exe
    2960 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    3104 C:\Programme\Belkin\F5D7001v2000\Belkinwcui.exe
    3112 C:\Programme\Spamihilator\spamihilator.exe
    2896 C:\WINDOWS\explorer.exe
    2040 C:\WINDOWS\system32\LEXBCES.EXE
    1728 C:\WINDOWS\system32\LEXPPS.EXE
    3880 alg.exe
    3576 C:\WINDOWS\system32\wscntfy.exe
    1424 C:\Programme\Internet Explorer\iexplore.exe
    2976 C:\Programme\Internet Explorer\iexplore.exe
    3540 C:\WINDOWS\system32\ctfmon.exe
    2852 C:\Programme\Internet Explorer\iexplore.exe
    3336 C:\WINDOWS\system32\notepad.exe
    1440 C:\Dokumente und Einstellungen\frank\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: Maxtor7L250S0, Rev: BANC1G10
PhysicalDrive1 Model Number: Maxtor7L250S0, Rev: BANC1G10

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
    232 GB  \\.\PhysicalDrive1   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

cosinus · 07.02.2011, 16:06

Zitat:

Service C:\Programme\Microsoft (*** hidden *** ) [MANUAL] MSSQLSERVER <-- ROOTKIT !!!
Service C:\Programme\Microsoft (*** hidden *** ) [MANUAL] SQLSERVERAGENT <-- ROOTKIT !!!

Hm, Rootkit? Oder hast du bewusst einen MSSQL-Server am laufen?

helend · 07.02.2011, 16:12

Hallo Arne,

das ging ja superfix. Ja, hier läuft tatsächlich ein SQLServer-Client.

cosinus · 07.02.2011, 16:26

Server-Client??

Client kann ich ja verstehen, aber SQL-Server?

helend · 07.02.2011, 16:28

Ick meinte den Client eines Microsoft SQL Servers

04.02.2011, 22:10	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Systembefall BDS/Papras.56320, TR/Agent.135168.BL, JAVA/OpenConnect.AI Hallo und Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! __________________ __________________

07.02.2011, 16:26	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Systembefall BDS/Papras.56320, TR/Agent.135168.BL, JAVA/OpenConnect.AI Server-Client?? Client kann ich ja verstehen, aber SQL-Server? __________________ Logfiles bitte immer in CODE-Tags posten

Systembefall BDS/Papras.56320, TR/Agent.135168.BL, JAVA/OpenConnect.AI

Log-Analyse und Auswertung: Systembefall BDS/Papras.56320, TR/Agent.135168.BL, JAVA/OpenConnect.AI