Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier das Combofix Logfile:


Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-02-28.07 - David 01.03.2011  15:59:50.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1023.545 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\David\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTAFINK
c:\programme\INSTALL.LOG
c:\programme\Need2Find
c:\programme\Need2Find\bar\1.bin\N2FFXTBR.JAR
c:\programme\Need2Find\bar\1.bin\N2NTSTBR.JAR
c:\programme\Need2Find\bar\1.bin\PARTNER.DAT
c:\programme\Need2Find\bar\Cache\000794DB
c:\programme\Need2Find\bar\Cache\files.ini
c:\programme\Need2Find\bar\History\search
c:\programme\Need2Find\bar\Settings\prevcfg.htm
c:\windows\Fonts\acrsec.fon
c:\windows\system32\Thumbs.db
d:\dokume~1\David\LOKALE~1\Temp\tmp2.tmp
d:\dokumente und einstellungen\David\Lokale Einstellungen\Temp\tmp2.tmp

.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-01 bis 2011-03-01  ))))))))))))))))))))))))))))))
.

2011-02-23 12:38 . 2011-02-23 12:38	--------	d-----w-	d:\dokumente und einstellungen\David\Anwendungsdaten\Malwarebytes
2011-02-23 12:38 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-23 12:38 . 2011-02-23 12:38	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-23 12:38 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-02-23 12:38 . 2011-02-23 12:38	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-02-18 15:28 . 2011-02-18 15:28	388096	----a-r-	d:\dokumente und einstellungen\David\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-02-18 15:28 . 2011-02-18 15:28	--------	d-----w-	c:\programme\Trend Micro
2011-02-15 11:44 . 2011-02-15 11:44	--------	d-----w-	C:\spoolerlogs

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"ICQ"="c:\programme\ICQ7.2\ICQ.exe" [2011-01-05 133432]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"PCMService"="c:\programme\CyberLink\PowerCinema\PCMService.exe" [2005-08-23 139264]
"RoxWatchTray"="c:\programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe" [2005-10-11 163840]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 16125440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"MMTray"="c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2002-06-03 90112]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-12-20 98304]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-12-20 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2005-08-12 16:01	49152	----a-w-	c:\apps\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sonic CinePlayer Quick Launch.lnk]
path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Sonic CinePlayer Quick Launch.lnk
backup=c:\windows\pss\Sonic CinePlayer Quick Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 16:43	69632	----a-w-	c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
2004-08-04 13:00	208952	----a-w-	c:\windows\ime\IMJP8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
2002-06-03 18:20	90112	----a-w-	c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 15:44	3883840	----a-w-	c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OmniPass]
2005-08-12 17:05	1859584	----a-w-	c:\apps\Softex\OmniPass\scureapp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2004-08-04 13:00	455168	----a-w-	c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
2004-08-04 13:00	455168	----a-w-	c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2005-12-20 07:32	98304	----a-w-	c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
2005-10-10 23:54	1687552	----a-w-	c:\programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2005-12-20 07:35	180269	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Roxio\\WinOnCD 8\\Digital Home\\RoxUpnpServer.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis2\\profilemgr.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [26.02.2010 14:57 64288]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06.10.2007 15:27 685816]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [30.04.2006 20:45 11264]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.02.2010 14:25 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [16.07.2009 11:02 247096]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [26.08.2008 09:16 61440]
R2 NIHardwareService;NIHardwareService;c:\programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe [08.12.2009 19:26 3616768]
R3 DFE528TX;D-Link DFE-528TX PCI Adapter;c:\windows\system32\drivers\DLKRTL.SYS [29.02.2008 18:19 45568]
R3 MicNgBas;Cinergy Dual T PCIe Base Driver;c:\windows\system32\drivers\MicNgBas.sys [20.12.2005 08:19 44544]
R3 MicNgCap;Cinergy Dual T PCIe Capture Driver;c:\windows\system32\drivers\MicNgCap.sys [20.12.2005 08:19 49792]
R3 MicNgTun;Cinergy Dual T PCIe Tuner Driver;c:\windows\system32\drivers\MicNgTun.sys [20.12.2005 08:19 103424]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 16:52 1352832]
S3 a2djavs;a2djavs;c:\windows\system32\drivers\a2djavs.sys [04.05.2010 10:39 35216]
S3 a2djusb;a2djusb;c:\windows\system32\drivers\a2djusb.sys [04.05.2010 10:41 226576]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [17.01.2006 13:44 15104]
S3 FILESpy;FILESpy;\??\c:\programme\Softwin\BitDefender8\filespy.sys --> c:\programme\Softwin\BitDefender8\filespy.sys [?]
S3 HSFHWCD2;HSFHWCD2;c:\windows\system32\drivers\HSFHWCD2.sys [02.01.2006 21:33 201728]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [26.08.2008 09:16 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [26.08.2008 09:16 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [26.08.2008 09:15 17536]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv	REG_MULTI_SZ   	Tapisrv
.
Inhalt des "geplante Tasks" Ordners

2011-02-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 09:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
mStart Page = hxxp://alice.aol.de
uInternet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} - hxxp://dfgfile.com/online_games/DinerDash/DinerDash.1.0.0.58.cab
FF - ProfilePath - d:\dokumente und einstellungen\David\Anwendungsdaten\Mozilla\Firefox\Profiles\d52wzkdt.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{8A6BB6EF-43A0-48FB-9369-5488837D599D} - (no file)
MSConfigStartUp-htwcohvw - d:\dokumente und einstellungen\David\Lokale Einstellungen\Anwendungsdaten\elgejl\altbsftav.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-01 16:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  MMTray = c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe?????w???gH???V??gH???SOFTWARE\MusicMatch\MusicMatch Jukebox\4.0\TrayApp??????? ?w?????????????\?wp ?w???????w???g???????????g?RY??QY????????gJ???2???????????8???? @??%X??%X?????????????????x?Y???????Q????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll
c:\apps\Softex\OmniPass\opxpgina.dll

- - - - - - - > 'explorer.exe'(540)
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Roxio\WinOnCD 8\Drag to Disc\Shellex.dll
c:\programme\Roxio\WinOnCD 8\Drag to Disc\Shellex.LOC
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLService.exe
c:\apps\HIDSERVICE\HIDSERVICE.exe
c:\apps\Softex\OmniPass\Omniserv.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
c:\programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
c:\apps\Softex\OmniPass\OPXPApp.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\RTHDCPL.EXE
c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
c:\programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\progra~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-03-01  16:16:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-03-01 15:16

Vor Suchlauf: 2.949.140.480 Bytes frei
Nach Suchlauf: 2.739.548.160 Bytes frei

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 7941D6D3E5BD8FF166BE880CEFEE4F4B
         

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur einige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne

GMER hat bei mir auch nach mehrmaligen betätigen nicht gewollt. Also hab ich nur OSAM und MBRCheck ausgeführt. Hier die Logs:

OSAM

OSAM Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 12:42:04 on 04.03.2011

OS: Windows XP Home Edition Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.2180

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - C:\WINDOWS\system32\lsdelete.exe  (File found, but it contains no detailed information)

[Common]
-----( %SystemRoot%\Tasks )-----
"Ad-Aware Update (Weekly).job" - "Lavasoft                                                              " - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ac3filter.cpl" - ? - C:\WINDOWS\system32\ac3filter.cpl
"Bdeadmin.cpl" - ? - C:\WINDOWS\system32\Bdeadmin.cpl
"CMDVDPak.cpl" - "Sonic Solutions" - C:\WINDOWS\system32\CMDVDPak.cpl
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl
"scurecpl.cpl" - "Softex, Inc" - C:\WINDOWS\system32\scurecpl.cpl
"SETUPPC.CPL" - "NEC Computers International" - C:\WINDOWS\system32\SETUPPC.CPL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a2djavs" (a2djavs) - "Native Instruments GmbH" - C:\WINDOWS\System32\Drivers\a2djavs.sys
"a2djusb" (a2djusb) - "Native Instruments GmbH" - C:\WINDOWS\System32\Drivers\a2djusb.sys
"Asapi" (Asapi) - "VOB Computersysteme GmbH" - C:\WINDOWS\system32\drivers\Asapi.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"BDFsDrv" (BDFsDrv) - ? - C:\Programme\Softwin\BitDefender8\bdfsdrv.sys  (File not found)
"BDRsDrv" (BDRsDrv) - ? - C:\Programme\Softwin\BitDefender8\bdrsdrv.sys  (File not found)
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"cdudf_xp" (cdudf_xp) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\cdudf_xp.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"drvmcdb" (drvmcdb) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\drvmcdb.sys
"dvd_2K" (dvd_2K) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\dvd_2K.sys
"FILESpy" (FILESpy) - ? - C:\Programme\Softwin\BitDefender8\filespy.sys  (File not found)
"Lbd" (Lbd) - "Lavasoft AB" - C:\WINDOWS\System32\DRIVERS\Lbd.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MACNDIS5 NDIS Protocol Driver" (MACNDIS5) - "Marmiko IT-Solutions GmbH" - C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS
"MIINPazX NDIS Protocol Driver" (MIINPazX) - "Deutsche Telekom AG, Marmiko IT-Solutions GmbH" - C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS
"mmc_2K" (mmc_2K) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\mmc_2K.sys
"MTOnlPktAlyX NDIS Protocol Driver" (MTOnlPktAlyX) - "Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH" - C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
"MxlW2k" (MxlW2k) - "MusicMatch, Inc." - C:\WINDOWS\system32\drivers\MxlW2k.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pfrorkob" (pfrorkob) - ? - D:\DOKUME~1\David\LOKALE~1\Temp\pfrorkob.sys  (Hidden registry entry, rootkit activity | File not found)
"pwd_2k" (pwd_2k) - "Sonic Solutions" - C:\WINDOWS\system32\drivers\pwd_2k.sys
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"REGSpy" (REGSpy) - ? - C:\Programme\Softwin\BitDefender8\regspy.sys  (File not found)
"RxFilter" (RxFilter) - "Sonic Solutions" - C:\WINDOWS\System32\DRIVERS\RxFilter.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarForce Protection Environment Driver (version 1.x)" (sfdrv01) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfdrv01.sys
"StarForce Protection Helper Driver (version 2.x)" (sfhlp02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfhlp02.sys
"StarForce Protection Synchronization Driver (version 2.x)" (sfsync02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfsync02.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{D653647D-D607-4DF6-A5B8-48D2BA195F7B} "BitDefender Antivirus v8" - ? -   (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "ICQ Lite Shell Extension" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{CCFE56EE-C7DE-44EE-A160-4553A5A912C9} "OmniPass Shell Extension" - ? -   (File not found | COM-object registry key not found)
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{5E44E225-A408-11CF-B581-008029601108} "Roxio DragToDisc Shell Extension" - "Sonic Solutions" - C:\Programme\Roxio\WinOnCD 8\Drag to Disc\Shellex.dll
{0FB82570-BB2D-23D3-8D3B-AC2F34F1FA3C} "RXDCExtShlExt extension" - ? - C:\Programme\Roxio\WinOnCD 8\Virtual Drive\DC_ShellExt.dll  (File found, but it contains no detailed information)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - c:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
{D0CE97A0-415B-42E9-B251-34393AF2D5F6} "Softex OmniPass Encrypted File" - "Softex Inc." - C:\Apps\Softex\OmniPass\opfolderext.dll
{D5B1944E-DB4E-482E-B3F1-DB05827F0978} "Softex OmniPass Encrypted Folder" - "Softex Inc." - C:\Apps\Softex\OmniPass\opfolderext.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
<binary data> "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\1011041219\ICQToolBar.dll
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\1011041219\ICQToolBar.dll
 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} "CPlayFirstDinerDashControl Object" - "PlayFirst, Inc." - C:\WINDOWS\Downloaded Program Files\DinerDash.1.0.0.58.dll / hxxp://dfgfile.com/online_games/DinerDash/DinerDash.1.0.0.58.cab
{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} "Java Plug-in 1.5.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{8E0D4DE5-3180-4024-A327-4DFAD1796A8D} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
{D0C0F75C-683A-4390-A791-1ACFD5599AB8} "Oberon Flash Game Host" - "Oberon Media, Inc." - C:\WINDOWS\Downloaded Program Files\OberonGameHost.dll / hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} "Symantec AntiVirus scanner" - "Symantec Corporation" - C:\WINDOWS\Downloaded Program Files\avsniff.dll / hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
{644E432F-49D3-41A1-8DD5-E099162EEEC5} "Symantec RuFSI Utility Class" - "Symantec Corporation" - C:\WINDOWS\Downloaded Program Files\rufsi.dll / hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
{31435657-9980-0010-8000-00AA00389B71} "{31435657-9980-0010-8000-00AA00389B71}" - ? -   (File not found | COM-object registry key not found) / hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
"ICQ Lite" - ? - C:\Programme\ICQLite\ICQLite.exe  (File not found)
"ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\1011041219\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "AcroIEHlprObj Class" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - D:\Dokumente und Einstellungen\David\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"ICQ" - "ICQ, LLC." - "C:\Programme\ICQ7.2\ICQ.exe" silent loginmode=4
"InfoCockpit" - "Deutsche Telekom AG, T-Com" - C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
"msnmsgr" - "Microsoft Corporation" - "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ATICCC" - "ATI Technologies Inc." - "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"MMTray" - "MUSICMATCH, Inc." - C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
"PCMService" - "CyberLink Corp." - "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
"QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"RoxWatchTray" - ? - "C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASP.NET-Statusdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"CyberLink Background Capture Service (CBCS)" (CLCapSvc) - ? - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
"CyberLink Media Library Service" (CyberLink Media Library Service) - "Cyberlink" - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
"CyberLink Task Scheduler (CTS)" (CLSched) - ? - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
"Generic Service for HID Keyboard Input Collections" (GenericHidService) - ? - c:\APPS\HIDSERVICE\HIDSERVICE.exe  (File found, but it contains no detailed information)
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft" - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
"LiveShare P2P Server" (RoxLiveShare) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
"NIHardwareService" (NIHardwareService) - "Native Instruments GmbH" - C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"RAS-Verbindungsverwaltung" (RasMan) - "Microsoft Corporation" - C:\WINDOWS\System32\rasmans.dll
"Roxio Hard Drive Watcher" (RoxWatch) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
"RoxMediaDB" (RoxMediaDB) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
"RoxUpnpRenderer" (RoxUPnPRenderer) - "Sonic Solutions" - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
"RoxUpnpServer" (RoxUpnpServer) - "Sonic Solutions" - C:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
"Softex OmniPass Service" (omniserv) - "Softex Inc." - C:\Apps\Softex\OmniPass\Omniserv.exe
"T-Online WLAN Adapter Steuerungsdienst" (MZCCntrl) - "Deutsche Telekom AG, Marmiko IT-Solutions GmbH" - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"OPXPGina" - ? - C:\Apps\Softex\OmniPass\opxpgina.dll  (File found, but it contains no detailed information)

===[ Logfile end ]=========================================[ Logfile end ]===
         

--- --- ---


MBRCheck

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000003fc

Kernel Drivers (total 181):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xF7ADB000 \WINDOWS\system32\KDCOM.DLL
0xF79EB000 \WINDOWS\system32\BOOTVID.dll
0xF73F0000 sptd.sys
0xF7ADD000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xF73D8000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF73A9000 ACPI.sys
0xF7398000 pci.sys
0xF75DB000 isapnp.sys
0xF7BA3000 pciide.sys
0xF785B000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7ADF000 aliide.sys
0xF7AE1000 cmdide.sys
0xF7AE3000 toside.sys
0xF7AE5000 viaide.sys
0xF7AE7000 intelide.sys
0xF75EB000 MountMgr.sys
0xF7379000 ftdisk.sys
0xF7863000 PartMgr.sys
0xF75FB000 sfsync02.sys
0xF760B000 VolSnap.sys
0xF79EF000 cpqarray.sys
0xF7361000 atapi.sys
0xF79F3000 aha154x.sys
0xF786B000 sparrow.sys
0xF79F7000 symc810.sys
0xF761B000 aic78xx.sys
0xF79FB000 dac960nt.sys
0xF762B000 ql10wnt.sys
0xF79FF000 amsint.sys
0xF7873000 asc.sys
0xF7A03000 asc3550.sys
0xF787B000 mraid35x.sys
0xF7883000 i2omp.sys
0xF7A07000 ini910u.sys
0xF763B000 ql1240.sys
0xF764B000 aic78u2.sys
0xF788B000 symc8xx.sys
0xF7893000 sym_hi.sys
0xF789B000 sym_u3.sys
0xF78A3000 ABP480N5.SYS
0xF78AB000 asc3350p.sys
0xF7AE9000 cd20xrnt.sys
0xF765B000 ultra.sys
0xF7348000 adpu160m.sys
0xF78B3000 dpti2o.sys
0xF766B000 ql1080.sys
0xF767B000 ql1280.sys
0xF768B000 ql12160.sys
0xF78BB000 perc2.sys
0xF7AEB000 perc2hib.sys
0xF78C3000 hpn.sys
0xF7A0B000 cbidf2k.sys
0xF731C000 dac2w2k.sys
0xF769B000 disk.sys
0xF76AB000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF72FC000 fltMgr.sys
0xF72EA000 sr.sys
0xF76BB000 Lbd.sys
0xF72D5000 drvmcdb.sys
0xF76CB000 PxHelp20.sys
0xF72BE000 KSecDD.sys
0xF7231000 Ntfs.sys
0xF7204000 NDIS.sys
0xF76DB000 sisagp.sys
0xF76EB000 viaagp.sys
0xF78CB000 sfhlp02.sys
0xF71F2000 sfdrv01.sys
0xF76FB000 ohci1394.sys
0xF770B000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF71D7000 Mup.sys
0xF771B000 alim1541.sys
0xF772B000 amdagp.sys
0xF773B000 agp440.sys
0xF774B000 agpCPQ.sys
0xF784B000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF6CD7000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6613000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF65FF000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF65DA000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF6CC7000 \SystemRoot\system32\drivers\MicNgBas.sys
0xF79BB000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF65B7000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF79C3000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6CB7000 \SystemRoot\system32\DRIVERS\DLKRTL.SYS
0xF65A6000 \SystemRoot\system32\DRIVERS\serial.sys
0xF70EB000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF6592000 \SystemRoot\system32\DRIVERS\parport.sys
0xF6CA7000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF79CB000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF79D3000 \SystemRoot\System32\Drivers\MxlW2k.SYS
0xF6C97000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF6C87000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF656F000 \SystemRoot\system32\DRIVERS\ks.sys
0xF79DB000 \SystemRoot\System32\Drivers\Asapi.SYS
0xF6551000 \SystemRoot\System32\Drivers\pwd_2k.SYS
0xF777B000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7CCD000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF778B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF70DF000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF653A000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF779B000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF77AB000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF79E3000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6529000 \SystemRoot\system32\DRIVERS\psched.sys
0xF77BB000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF78DB000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF78F3000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF77CB000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF78FB000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7B19000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF64D0000 \SystemRoot\system32\DRIVERS\update.sys
0xF70CF000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7903000 \SystemRoot\System32\Drivers\dvd_2K.SYS
0xF77DB000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xEDFA4000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xEDF82000 \SystemRoot\system32\drivers\portcls.sys
0xF782B000 \SystemRoot\system32\drivers\drmk.sys
0xF71A7000 \SystemRoot\system32\drivers\MicNgCap.sys
0xEDF40000 \SystemRoot\system32\drivers\MicNgTun.sys
0xF6791000 \SystemRoot\system32\drivers\BdaSup.SYS
0xF7197000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7B4B000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7B51000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xEDF07000 \SystemRoot\system32\DRIVERS\RxFilter.sys
0xF7B53000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7C18000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B55000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7953000 \SystemRoot\System32\drivers\vga.sys
0xF7B57000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B59000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xEDE9B000 \SystemRoot\System32\Drivers\cdudf_xp.SYS
0xF7973000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF795B000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF70EF000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEDDFE000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xEDDA6000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEDD7E000 \SystemRoot\system32\DRIVERS\netbt.sys
0xEDD5D000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF7187000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xEDD3B000 \SystemRoot\System32\drivers\afd.sys
0xF7177000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7157000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF7963000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xEDD10000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xEDC79000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7147000 \SystemRoot\System32\Drivers\Fips.SYS
0xEDC5D000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B5D000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF797B000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF6D17000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF6795000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF6CF7000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7983000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xEDF3C000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xEDBA5000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B6B000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xEDF18000 \SystemRoot\System32\drivers\Dxapi.sys
0xF79A3000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7CDD000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF054000 \SystemRoot\System32\ati2cqag.dll
0xBF08E000 \SystemRoot\System32\atikvmag.dll
0xBF0C4000 \SystemRoot\System32\ati3duag.dll
0xBF32B000 \SystemRoot\System32\ativvaxx.dll
0xEBA51000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xEBA75000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xEB7CD000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xEB6C8000 \SystemRoot\system32\drivers\wdmaud.sys
0xEB871000 \SystemRoot\system32\drivers\sysaudio.sys
0xEB7B5000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xEB533000 \SystemRoot\system32\DRIVERS\srv.sys
0xEB951000 \SystemRoot\system32\DRIVERS\secdrv.sys
0xBA423000 \SystemRoot\System32\Drivers\HTTP.sys
0xEDE19000 \??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
0xB9E43000 \??\D:\DOKUME~1\David\LOKALE~1\Temp\pfrorkob.sys
0xB9E18000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 52):
0 System Idle Process
4 System
644 C:\WINDOWS\system32\smss.exe
700 csrss.exe
728 C:\WINDOWS\system32\winlogon.exe
776 C:\WINDOWS\system32\services.exe
788 C:\WINDOWS\system32\lsass.exe
972 C:\WINDOWS\system32\ati2evxx.exe
988 C:\WINDOWS\system32\svchost.exe
1044 svchost.exe
1088 C:\WINDOWS\system32\svchost.exe
1152 svchost.exe
1188 svchost.exe
1392 C:\WINDOWS\system32\spoolsv.exe
1440 C:\Programme\Avira\AntiVir Desktop\sched.exe
1480 svchost.exe
1544 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1568 C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
1588 C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
1616 C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLService.exe
1632 C:\APPS\HIDSERVICE\HidService.exe
1652 C:\Programme\ICQ6Toolbar\ICQ Service.exe
1764 C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
1808 C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe
1836 C:\APPS\Softex\OmniPass\OmniServ.exe
1872 C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
1908 C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
228 C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
1684 C:\APPS\Softex\OmniPass\OPXPApp.exe
1692 alg.exe
2088 C:\WINDOWS\system32\svchost.exe
2164 C:\WINDOWS\system32\ati2evxx.exe
2300 C:\WINDOWS\explorer.exe
2640 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
2656 C:\Programme\CyberLink\PowerCinema\PCMService.exe
2664 C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe
2684 C:\WINDOWS\RTHDCPL.exe
2692 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2700 C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
2708 C:\Programme\QuickTime\qttask.exe
2716 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
2992 C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\InfoCockpit.exe
3208 C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
3388 C:\WINDOWS\system32\wuauclt.exe
3484 C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
3516 C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
3672 C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
3912 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
3924 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
336 C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
3252 C:\Programme\Mozilla Firefox\firefox.exe
2420 D:\Dokumente und Einstellungen\David\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`fa08fc00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000008`796c1200 (NTFS)

PhysicalDrive0 Model Number: ST3250823AS, Rev: 3.03

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Wie sieht es denn bis jetzt aus? Sind wir auf einem guten Weg?
Viele Grüße

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5950

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

04.03.2011 14:42:41
mbam-log-2011-03-04 (14-42-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 273734
Laufzeit: 1 Stunde(n), 14 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und hier das Log von SuperAntiSpyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/04/2011 at 06:47 PM

Application Version : 4.49.1000

Core Rules Database Version : 6530
Trace Rules Database Version: 4342

Scan type : Complete Scan
Total Scan Time : 01:42:01

Memory items scanned : 896
Memory threats detected : 0
Registry items scanned : 8854
Registry threats detected : 0
File items scanned : 133039
File threats detected : 4

Adware.Tracking Cookie
D:\Dokumente und Einstellungen\David\Cookies\david@im.banner.t-online[1].txt
D:\Dokumente und Einstellungen\David\Cookies\david@xiti[2].txt

Trojan.Agent/Gen-Cryptor[Egun]
C:\DRIVERS\EMBBAR.EXE

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP748\A0154200.EXE


Während SUPERAntiSpyware lief zeigte Avira einen Fund an der sich jetzt in Quarantäne befindet -> TR/BHO.aaa
Und nach dem Scan von SUPERAntiSpyware wurden einge Sachen von Avira gefunden, das war der TR.Trash.Gen

Zitat:

Während SUPERAntiSpyware lief zeigte Avira einen Fund an der sich jetzt in Quarantäne befindet -> TR/BHO.aaa

Ist zu ungenau. Ich glaube du weißt warum.
An für sich wurden aber nur Cookies und ein kleiner Überrest in der Systemwiederherstellung gefunden.

Zitat:

Zitat von cosinus

Ist zu ungenau. Ich glaube du weißt warum.
An für sich wurden aber nur Cookies und ein kleiner Überrest in der Systemwiederherstellung gefunden.

Nein, ich weiss leider nicht wie du das meinst

Du hast nur den Schädlingsnamen gepostet. Ich will wissen in welchem Ordner das gefunden wurde. Poste also den kompletten Pfad UND den Dateinamen dazu. Sowas wie zB C:\Windows\system32\virus.dll

Zitat:

Zitat von cosinus

Du hast nur den Schädlingsnamen gepostet. Ich will wissen in welchem Ordner das gefunden wurde. Poste also den kompletten Pfad UND den Dateinamen dazu. Sowas wie zB C:\Windows\system32\virus.dll

Ok, Danke für die Info. Werd es bei Gelegenheit posten

Hallo Arne.

Hier der Pfad vom Avira Fund:

D:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temp\GLK2B4.tmp

Und die Meldung lautet -> Ist das trojanische Pferd TR/BHO.aaa


Viele Grüße

So, hab bei Avira nochmal genauer geschaut.
Die Virusmeldungen die gegen Ende des SUPERAntiSpyware Scans kamen waren folgende:
In der Datei 'C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP748\A0154200.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Diese Meldung kam insgesamt 6 mal. In der Quarantäne befindet sich dieser Fund -> D:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temp\GLK2B4.tmp

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Hast du die Funde mit SUPERAntiSpyware auch entfernt? Geht v.a. um diese EMBBAR.EXE. Falls ja, bitte diese Datei aus der Quarantäne rausholen und bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hallo Arne,

also bei SUPERAntiSpyware sind drei Objekte in der Quarantäne:
-Adware.Tracking Cookie
-Trojan.Agent/Gen-Cryptor[Egun] - das scheint diese EMBBAR.exe zu sein
-Trojan.Agent/Gen-Nullo[Short]

Soll ich alle 3 Sachen hochladen? Und wie funktioniert das aus der Quarantäne holen, einfach auf "wiederherstellen" klicken?

Nur diese embbar.exe bitte.