Hilfe, wie werde ich den wieder los: TR/EyeStye.H.37

easytwix · 24.02.2011, 15:51

Hallo wackere Schädlingsbekämpfer,
ich hoffe ihr könnt mir helfen. Auf dem PC meiner Freundin hat sich o.g. Trojaner verschanzt. Mit Antivir (Version 10.0.0.611) kann ich ihn idendifizieren und löschen. Aber leider nicht dauerhaft. Damit bin ich auch schon mit meinem Latein am Ende. Was tun? Helft mir bitte.

Christian

markusg · 24.02.2011, 15:55

1. poste die fundmeldung von avira, entweder beim scannen, dann den report posten, oder guard fund, dann unter ereignisse.
2. macht sie onlinebanking, einkäufe oder sonst was wichtiges?
3.

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

easytwix · 24.02.2011, 19:11

Hallo Markus, das ging ja superschnell! Danke schon einmal.
Klar nutzt sie onlinebanking, so hat sich der Trojaner auch bemerkbar gemacht. Nach Eingabe von Benutzername und PIN forderte er unter Verwendung des Deutsche Bank Designs zur Eingabe einiger TAN's auf. Darauf sind wir eben nicht reingefallen. Seitdem natuürliche keine Passworteingaben irgendeiner Art durch uns auf diesem Rechner. Ich hab die PIN auch umgehend geändert (von meinem Rechner aus).
Hier der Report von avira:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 24. Februar 2011 15:15

Es wird nach 2431267 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SUSISDELL

Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 13.12.2010 08:17:12
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 13.12.2010 08:17:13
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 12:03:43
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 11:20:26
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 11:20:26
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 11:20:27
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 11:20:27
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 11:20:27
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 11:20:27
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 11:20:27
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 11:20:27
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 11:20:27
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 11:20:27
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 11:20:27
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 20:10:12
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 20:10:12
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 20:10:13
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 11:39:55
VBASE017.VDF : 7.11.3.184 2048 Bytes 22.02.2011 11:39:55
VBASE018.VDF : 7.11.3.185 2048 Bytes 22.02.2011 11:39:55
VBASE019.VDF : 7.11.3.186 2048 Bytes 22.02.2011 11:39:55
VBASE020.VDF : 7.11.3.187 2048 Bytes 22.02.2011 11:39:55
VBASE021.VDF : 7.11.3.188 2048 Bytes 22.02.2011 11:39:55
VBASE022.VDF : 7.11.3.189 2048 Bytes 22.02.2011 11:39:55
VBASE023.VDF : 7.11.3.190 2048 Bytes 22.02.2011 11:39:55
VBASE024.VDF : 7.11.3.191 2048 Bytes 22.02.2011 11:39:55
VBASE025.VDF : 7.11.3.192 2048 Bytes 22.02.2011 11:39:55
VBASE026.VDF : 7.11.3.193 2048 Bytes 22.02.2011 11:39:55
VBASE027.VDF : 7.11.3.194 2048 Bytes 22.02.2011 11:39:55
VBASE028.VDF : 7.11.3.195 2048 Bytes 22.02.2011 11:39:55
VBASE029.VDF : 7.11.3.196 2048 Bytes 22.02.2011 11:39:55
VBASE030.VDF : 7.11.3.197 2048 Bytes 22.02.2011 11:39:55
VBASE031.VDF : 7.11.3.211 89088 Bytes 24.02.2011 11:39:56
Engineversion : 8.2.4.170
AEVDF.DLL : 8.1.2.1 106868 Bytes 19.10.2010 13:54:34
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 13.02.2011 11:20:36
AESCN.DLL : 8.1.7.2 127349 Bytes 06.12.2010 18:59:06
AESBX.DLL : 8.1.3.2 254324 Bytes 06.12.2010 18:59:07
AERDL.DLL : 8.1.9.2 635252 Bytes 19.10.2010 13:54:33
AEPACK.DLL : 8.2.4.9 512374 Bytes 13.02.2011 11:20:35
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 13.02.2011 11:20:34
AEHEUR.DLL : 8.1.2.78 3277175 Bytes 21.02.2011 20:10:18
AEHELP.DLL : 8.1.16.1 246134 Bytes 13.02.2011 11:20:30
AEGEN.DLL : 8.1.5.2 397683 Bytes 13.02.2011 11:20:29
AEEMU.DLL : 8.1.3.0 393589 Bytes 06.12.2010 18:59:00
AECORE.DLL : 8.1.19.2 196983 Bytes 13.02.2011 11:20:29
AEBB.DLL : 8.1.1.0 53618 Bytes 19.10.2010 13:54:26
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 17.11.2010 09:36:27
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 13.12.2010 08:17:13
AVARKT.DLL : 10.0.22.6 231784 Bytes 13.12.2010 08:17:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 17.11.2010 09:36:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: e:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: ignorieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 24. Februar 2011 15:15

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'cli.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrobat_sl.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.EXE' - '144' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'bcmwltry.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '320' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Daten>
Beginne mit der Suche in 'E:\' <System>
E:\Programme\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar
[0] Archivtyp: TAR (tape archiver)
--> gnu/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/longname
[WARNUNG] Interner Fehler!
[WARNUNG] Interner Fehler!
E:\System Volume Information\_restore{6564849D-56F8-4D58-8FEA-41F1CE14B5C5}\RP17\A0000500.exe
[0] Archivtyp: NSIS
--> a
[1] Archivtyp: CAB (Microsoft)
--> testtar.tar
[2] Archivtyp: TAR (tape archiver)
--> gnu/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/longname
[WARNUNG] Interner Fehler!
E:\System Volume Information\_restore{6564849D-56F8-4D58-8FEA-41F1CE14B5C5}\RP20\A0005260.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.H.37
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4ea6fd14.qua erstellt ( QUARANTÄNE )

Ende des Suchlaufs: Donnerstag, 24. Februar 2011 15:36
Benötigte Zeit: 21:25 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3334 Verzeichnisse wurden überprüft
205123 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
205122 Dateien ohne Befall
1789 Archive wurden durchsucht
3 Warnungen
1 Hinweise
178219 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Ich werde mir jetzt OTL laden und mich mit Neuigkeiten melden.

Christian

markusg · 24.02.2011, 19:13

dann soll sie sich schon mal auf format c:
einstellen.
bitte lasst das onlinebanking sofort! sperren.
die notfall nummer die ihr nutzen könnt:
116 116

easytwix · 24.02.2011, 19:21

Danke, aber an der Front ist alles OK. Wie gesagt haben wir sofort die PIN geändert und mit der Bank gesprochen. Das ist jetzt auch schon ein paar Wochen her. Solange hatte ich keine Zeit mich dem Problem zu widmen... Seitdem nutzen wir den verseuchten Rechner nicht mehr und es gibt auch keine Unregelmäßigkeiten auf dem Konto.

markusg · 24.02.2011, 19:22

zeig erst mal die logs.
das eine hat trotzdem nichts mit dem andern zu tun, wenn sie den rechner jemals wieder fürs banking nutzen will wirds wohl auf nen format raus laufen

easytwix · 24.02.2011, 19:25

Ok. Hab oldtimer laufen lassen. Hier die Ergebnisse:

OTL.txt:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 24.02.2011 19:16:54 - Run 1
OTL by OldTimer - Version 3.2.21.0     Folder = E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 66,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): E:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = E: | %SystemRoot% = E:\WINDOWS | %ProgramFiles% = E:\Programme
Drive C: | 62,95 Gb Total Space | 62,87 Gb Free Space | 99,87% Space Free | Partition Type: NTFS
Drive E: | 48,83 Gb Total Space | 38,86 Gb Free Space | 79,59% Space Free | Partition Type: NTFS
Drive F: | 960,72 Mb Total Space | 919,97 Mb Free Space | 95,76% Space Free | Partition Type: FAT
 
Computer Name: SUSISDELL | User Name: Susanne | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - E:\Programme\Avira\AntiVir Desktop\avscan.exe (Avira GmbH)
PRC - E:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - e:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - E:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - E:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - E:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - E:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - E:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - E:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.)
PRC - E:\Programme\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.)
PRC - E:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe (Adobe Systems Inc.)
PRC - E:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - E:\Programme\Windows NT\Zubehör\wordpad.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - E:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) --  File not found
SRV - (AntiVirService) -- E:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- E:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Adobe LM Service) -- E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- E:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- E:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- E:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- E:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (BCM43XX) -- E:\WINDOWS\system32\drivers\BCMWL5.SYS (Broadcom Corporation)
DRV - (SynTP) -- E:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (STHDA) -- E:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.)
DRV - (bcm4sbxp) -- E:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation)
DRV - (rimmptsk) -- E:\WINDOWS\system32\drivers\rimmptsk.sys (REDC)
DRV - (ati2mtag) -- E:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (AmdK8) -- E:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (HDAudBus) -- E:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1757981266-1965331169-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: E:\Programme\Mozilla Firefox\components [2011.02.02 12:18:26 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: E:\Programme\Mozilla Firefox\plugins [2011.02.02 12:18:24 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Components: E:\Programme\Mozilla Thunderbird\components [2010.12.10 11:44:18 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Plugins: E:\Programme\Mozilla Thunderbird\plugins
 
[2010.10.19 18:09:58 | 000,000,000 | ---D | M] (No name found) -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Mozilla\Extensions
[2010.10.19 18:09:58 | 000,000,000 | ---D | M] (No name found) -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.10.19 14:47:52 | 000,000,000 | ---D | M] (No name found) -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Mozilla\Firefox\Profiles\5let12v6.default\extensions
[2010.10.19 14:47:40 | 000,000,000 | ---D | M] (No name found) -- E:\Programme\Mozilla Firefox\extensions
[2010.09.14 22:32:39 | 000,001,392 | ---- | M] () -- E:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.14 22:32:39 | 000,002,344 | ---- | M] () -- E:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.14 22:32:39 | 000,006,805 | ---- | M] () -- E:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.14 22:32:39 | 000,001,178 | ---- | M] () -- E:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.14 22:32:39 | 000,001,105 | ---- | M] () -- E:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - E:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 7.0] E:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [ATICCC] E:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe ()
O4 - HKLM..\Run: [avgnt] E:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [SigmatelSysTrayApp] E:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.)
O4 - HKU\.DEFAULT..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe ()
O4 - HKU\S-1-5-18..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe ()
O4 - HKU\S-1-5-19..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe ()
O4 - HKU\S-1-5-20..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe ()
O4 - HKU\S-1-5-21-1757981266-1965331169-1801674531-1003..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: E:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk = E:\WINDOWS\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1757981266-1965331169-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - E:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Convert link target to Adobe PDF - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert link target to existing PDF - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selected links to Adobe PDF - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selected links to existing PDF - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selection to Adobe PDF - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selection to existing PDF - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert to Adobe PDF - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert to existing PDF - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1287494934967 (WUWebControl Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - E:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - E:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - E:\WINDOWS\system32\Rundll32.exe E:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {BB4E64CA-E61E-E07B-9687-624A6541EB81} - Browseranpassungen
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - E:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - E:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - E:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - E:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - E:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - E:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - E:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - E:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - E:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - E:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16620634377289728)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.02 12:19:01 | 000,000,000 | ---D | C] -- E:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\HP
[2011.02.02 12:18:12 | 000,000,000 | ---D | C] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Desktop\ebay
[2011.01.31 18:07:36 | 000,000,000 | ---D | C] -- E:\WINDOWS\System32\NtmsData
[3 E:\WINDOWS\*.tmp files -> E:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.24 15:18:14 | 000,405,692 | ---- | M] () -- E:\WINDOWS\System32\perfh007.dat
[2011.02.24 15:18:14 | 000,392,630 | ---- | M] () -- E:\WINDOWS\System32\perfh009.dat
[2011.02.24 15:18:14 | 000,070,976 | ---- | M] () -- E:\WINDOWS\System32\perfc007.dat
[2011.02.24 15:18:14 | 000,058,930 | ---- | M] () -- E:\WINDOWS\System32\perfc009.dat
[2011.02.24 15:14:32 | 000,002,319 | ---- | M] () -- E:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
[2011.02.24 15:13:26 | 000,002,048 | --S- | M] () -- E:\WINDOWS\bootstat.dat
[2011.02.24 13:59:42 | 000,013,646 | ---- | M] () -- E:\WINDOWS\System32\wpa.dbl
[2011.02.13 12:20:37 | 000,135,096 | ---- | M] (Avira GmbH) -- E:\WINDOWS\System32\drivers\avipbb.sys
[3 E:\WINDOWS\*.tmp files -> E:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.12.13 09:22:22 | 000,005,975 | ---- | C] () -- E:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\hpzinstall.log
[2010.10.19 18:43:44 | 000,013,824 | ---- | C] () -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.19 14:22:29 | 000,143,360 | ---- | C] () -- E:\WINDOWS\System32\preflib.dll
[2010.10.19 14:22:26 | 000,753,664 | ---- | C] () -- E:\WINDOWS\System32\bcm1xsup.dll
[2010.10.19 14:04:57 | 000,004,161 | ---- | C] () -- E:\WINDOWS\ODBCINST.INI
[2004.08.04 13:00:00 | 000,081,920 | ---- | C] () -- E:\WINDOWS\System32\ieencode.dll
[2004.08.04 13:00:00 | 000,027,440 | ---- | C] () -- E:\WINDOWS\System32\drivers\secdrv.sys
 
========== LOP Check ==========
 
[2010.10.22 08:49:48 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Arbeiten\Anwendungsdaten\Thunderbird
[2010.10.22 08:30:51 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\OpenOffice.org
[2010.10.19 18:16:49 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Thunderbird
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2010.10.19 18:40:16 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Adobe
[2010.10.19 18:43:32 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\AdobeUM
[2010.10.19 14:25:32 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\ATI
[2010.11.17 10:35:29 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Avira
[2010.12.13 10:10:25 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\HP
[2010.10.19 13:20:38 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Identities
[2010.10.19 14:05:15 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\InstallShield
[2010.10.19 18:25:44 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Macromedia
[2010.10.19 15:49:29 | 000,000,000 | --SD | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Microsoft
[2010.10.19 14:47:52 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Mozilla
[2010.10.22 08:30:51 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\OpenOffice.org
[2010.10.19 18:16:49 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Thunderbird
[2011.02.02 12:18:34 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Anwendungsdaten\vlc
 
< %APPDATA%\*.exe /s >
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2004.08.04 13:00:00 | 018,782,319 | ---- | M] () .cab file -- E:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 13:00:00 | 018,782,319 | ---- | M] () .cab file -- E:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2004.08.04 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- E:\WINDOWS\system32\drivers\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2004.08.04 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- E:\WINDOWS\system32\dllcache\eventlog.dll
[2004.08.04 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- E:\WINDOWS\system32\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2004.08.04 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- E:\WINDOWS\explorer.exe
[2004.08.04 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- E:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: IASTOR.SYS  >
[2005.04.25 16:28:14 | 000,871,040 | ---- | M] (Intel Corporation) MD5=D593517879E65167DF35F6015814AC59 -- E:\WINDOWS\dell\iastor\iastor.sys
 
< MD5 for: NETLOGON.DLL  >
[2004.08.04 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- E:\WINDOWS\system32\dllcache\netlogon.dll
[2004.08.04 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- E:\WINDOWS\system32\netlogon.dll
 
< MD5 for: NVATABUS.SYS  >
[2005.05.17 23:45:08 | 000,092,800 | ---- | M] (NVIDIA Corporation) MD5=DCE353985C988BFB7E84FD942068151F -- E:\WINDOWS\dell\nvraid\NvAtaBus.sys
[2005.05.17 23:45:08 | 000,092,800 | ---- | M] (NVIDIA Corporation) MD5=DCE353985C988BFB7E84FD942068151F -- E:\WINDOWS\system32\drivers\NvAtaBus.sys
 
< MD5 for: SCECLI.DLL  >
[2004.08.04 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- E:\WINDOWS\system32\dllcache\scecli.dll
[2004.08.04 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- E:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2004.08.04 13:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- E:\WINDOWS\system32\dllcache\user32.dll
[2004.08.04 13:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- E:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2004.08.04 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- E:\WINDOWS\system32\dllcache\userinit.exe
[2004.08.04 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- E:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- E:\WINDOWS\system32\dllcache\winlogon.exe
[2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- E:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- E:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.04 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- E:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2010.10.19 15:02:18 | 000,094,208 | ---- | M] () -- E:\WINDOWS\system32\config\default.sav
[2010.10.19 15:02:18 | 000,663,552 | ---- | M] () -- E:\WINDOWS\system32\config\software.sav
[2010.10.19 15:02:18 | 000,442,368 | ---- | M] () -- E:\WINDOWS\system32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[2006.10.11 20:22:06 | 000,303,104 | ---- | M] (ATI Technologies Inc.) Unable to obtain MD5 -- E:\WINDOWS\system32\ATIDEMGR.dll
[2004.08.04 13:00:00 | 001,251,840 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- E:\WINDOWS\system32\comsvcs.dll

< End of report >

--- --- ---

extras.txt:OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 24.02.2011 19:16:54 - Run 1
OTL by OldTimer - Version 3.2.21.0     Folder = E:\Dokumente und Einstellungen\Susanne.SUSISDELL\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 66,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): E:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = E: | %SystemRoot% = E:\WINDOWS | %ProgramFiles% = E:\Programme
Drive C: | 62,95 Gb Total Space | 62,87 Gb Free Space | 99,87% Space Free | Partition Type: NTFS
Drive E: | 48,83 Gb Total Space | 38,86 Gb Free Space | 79,59% Space Free | Partition Type: NTFS
Drive F: | 960,72 Mb Total Space | 919,97 Mb Free Space | 95,76% Space Free | Partition Type: FAT
 
Computer Name: SUSISDELL | User Name: Susanne | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-1757981266-1965331169-1801674531-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- E:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "E:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "E:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"E:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe" = E:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe
"E:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe" = E:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe
"E:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = E:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe
"E:\Programme\HP\Digital Imaging\bin\hpqsudi.exe" = E:\Programme\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe
"E:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe" = E:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe
"E:\Programme\HP\Digital Imaging\bin\hpqpse.exe" = E:\Programme\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe
"E:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe" = E:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe
"E:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe" = E:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe
"E:\Programme\HP\HP Software Update\HPWUCli.exe" = E:\Programme\HP\HP Software Update\HPWUCli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe" = E:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe
"E:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe" = E:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe
"E:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = E:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe
"E:\Programme\HP\Digital Imaging\bin\hpqsudi.exe" = E:\Programme\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe
"E:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe" = E:\Programme\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe
"E:\Programme\HP\Digital Imaging\bin\hpqpse.exe" = E:\Programme\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe
"E:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe" = E:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe
"E:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe" = E:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe
"E:\Programme\HP\HP Software Update\HPWUCli.exe" = E:\Programme\HP\HP Software Update\HPWUCli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{612B9183-67A9-4B44-9877-2F059E35B86A}" = Broadcom 440x 10/100 Integrated Controller
"{7059BDA7-E1DB-442C-B7A1-6144596720A4}" = HP Update
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{9B362566-EC1B-4700-BB9C-EC661BDE2175}" = DocProc
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{AC76BA86-1033-0000-7760-000000000002}" = Adobe Acrobat 7.0 Professional
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver
"{EF40BAC3-372B-46F4-A32D-B37CF4217CE7}" = ATI Catalyst Control Center
"4569969E1360D2854474C661EF9B4D54F143EB16" = Windows-Treiberpaket - Ricoh Company (rimsptsk) hdc  (11/14/2006 6.00.01.04)
"7-Zip" = 7-Zip 4.65
"Adobe Acrobat 7.0 Professional" = Adobe Acrobat 7.0 Professional
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Broadcom 802.11b Network Adapter" = Dienstprogramm für Dell Wireless WLAN Karte
"HPOCR" = OCR Software by I.R.I.S. 13.0
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)
"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)
"Picasa 3" = Picasa 3
"SynTPDeinstKey" = Dell Touchpad
"VLC media player" = VLC media player 1.1.4
"xp-AntiSpy" = xp-AntiSpy 3.97-9
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 19.10.2010 09:53:29 | Computer Name = SUSISDELL | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 22.10.2010 03:46:48 | Computer Name = SUSISDELL | Source = .NET Runtime | ID = 0
Description = 
 
Error - 17.11.2010 05:37:19 | Computer Name = SUSISDELL | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 13.12.2010 04:18:11 | Computer Name = SUSISDELL | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 21.12.2010 08:04:44 | Computer Name = SUSISDELL | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 13.02.2011 07:21:29 | Computer Name = SUSISDELL | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ System Events ]
Error - 13.12.2010 04:57:43 | Computer Name = SUSISDELL | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
 für die  Netzwerkkarte mit der Netzwerkadresse 001FE295A39B zugeteilt werden. Der
 folgende Fehler  ist aufgetreten:   %%1223.  Es wird weiterhin im Hintergrund versucht,
 eine Adresse vom  Netzwerkadressserver (DHCP) zugeteilt zu bekommen.
 
Error - 13.12.2010 04:58:34 | Computer Name = SUSISDELL | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {E60687F7-01A1-40AA-86AC-DB1CBF673334}
 
Error - 13.12.2010 05:00:26 | Computer Name = SUSISDELL | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {E60687F7-01A1-40AA-86AC-DB1CBF673334}
 
Error - 13.12.2010 05:00:30 | Computer Name = SUSISDELL | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {E60687F7-01A1-40AA-86AC-DB1CBF673334}
 
Error - 31.01.2011 13:45:23 | Computer Name = SUSISDELL | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 31.01.2011 13:45:23 | Computer Name = SUSISDELL | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 31.01.2011 13:45:23 | Computer Name = SUSISDELL | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 31.01.2011 13:45:23 | Computer Name = SUSISDELL | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 31.01.2011 13:45:23 | Computer Name = SUSISDELL | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  AmdK8  avgio  avipbb  Fips  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip
 
Error - 31.01.2011 13:49:57 | Computer Name = SUSISDELL | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
 
< End of report >

--- --- ---

markusg · 24.02.2011, 19:32

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

easytwix · 24.02.2011, 20:13

Ok. Hat ein wenig gedauert. Hier das Ergebnis:

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-02-24.01 - Susanne 24.02.2011  20:02:24.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1918.1488 [GMT 1:00]
ausgef¸hrt von:: e:\dokumente und einstellungen\Susanne.SUSISDELL\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Lˆschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\spy.qwas
e:\spy.qwas\config.bin
e:\windows\system32\drivers\1028_DELL_XPS_Vostro   1000 .MRK
e:\windows\system32\drivers\DELL_XPS_Vostro   1000 .MRK

Infizierte Kopie von e:\windows\system32\ctfmon.exe wurde gefunden und desinfiziert 
Kopie von - e:\windows\system32\ctfmon.exe.backup wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-24 bis 2011-02-24  ))))))))))))))))))))))))))))))
.

2011-02-02 11:19 . 2011-02-02 11:19	--------	d-----w-	e:\windows\system32\wbem\Repository
2011-01-31 17:07 . 2011-02-24 14:35	--------	d-----w-	e:\windows\system32\NtmsData

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-13 11:20 . 2010-10-19 13:52	135096	----a-w-	e:\windows\system32\drivers\avipbb.sys
2010-12-06 18:59 . 2010-10-19 13:52	61960	----a-w-	e:\windows\system32\drivers\avgntflt.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="e:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="e:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"Broadcom Wireless Manager UI"="e:\windows\system32\WLTRAY.exe" [2008-06-02 2220032]
"SynTPEnh"="e:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1024000]
"avgnt"="e:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-17 281768]
"Acrobat Assistant 7.0"="e:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"HP Software Update"="e:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

e:\dokumente und einstellungen\All Users.WINDOWS\StartmenÅ\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - e:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2010-10-19 25214]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\Avira\AntiVir Desktop\sched.exe [19.10.2010 14:52 135336]
.
.
------- Zus‰tzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - e:\windows\system32\GPhotos.scr/200
IE: Convert link target to Adobe PDF - e:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - e:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - e:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - e:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - e:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - e:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - e:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - e:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - e:\dokumente und einstellungen\Susanne.SUSISDELL\Anwendungsdaten\Mozilla\Firefox\Profiles\5let12v6.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -

HKLM-Run-SigmatelSysTrayApp - %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-24 20:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteintr‰ge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(836)
e:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2832)
e:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
e:\programme\Avira\AntiVir Desktop\avguard.exe
e:\programme\Avira\AntiVir Desktop\avshadow.exe
e:\windows\system32\Ati2evxx.exe
e:\windows\system32\Ati2evxx.exe
e:\windows\System32\WLTRYSVC.EXE
e:\windows\System32\bcmwltry.exe
e:\programme\ATI Technologies\ATI.ACE\CLI.EXE
e:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
e:\programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
e:\windows\system32\wscntfy.exe
e:\programme\ATI Technologies\ATI.ACE\cli.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-24  20:09:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-24 19:09

Vor Suchlauf: 6 Verzeichnis(se), 41.648.181.248 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 41.615.843.328 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 63DF7FE407177F414CD1B4FE08DCF7FE

--- --- ---

markusg · 24.02.2011, 20:14

öffne arbeitsplatz e: dort rechts auf qoobox klicken und dnan zu qoobox.rar oder zip hinzufügen, archiv hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

easytwix · 24.02.2011, 20:25

Ich hoffe, ich hab das richtig gemacht. Hab den Ordner Qoobox gezipt und mit der Funktion "Dateien anhängen" hochgeladen.
Ich arbeite grad an meinem Macbook und nicht an dem infizierten PC.

markusg · 24.02.2011, 20:26

ok bei dem infizierten system daten sichern und dann machen wir uns ans neu aufsetzen und absichern.
das ist das einzig sichere.

easytwix · 24.02.2011, 20:26

Ach, entschuldigung, jetzt lese ich erst die Meldung, die Datei ist zu groß für diese Funktion.

markusg · 24.02.2011, 20:27

und es ist kein upload angekommen, sieht man doch eig, steht dann was mit upload erfolgreich

easytwix · 24.02.2011, 20:27

OK. Du meinst also hier ist nichts mehr zu retten und ich sollte den Rechner vollkommen neu aufsetzen?

24.02.2011, 19:22	#6
markusg /// Malware-holic	Hilfe, wie werde ich den wieder los: TR/EyeStye.H.37 zeig erst mal die logs. das eine hat trotzdem nichts mit dem andern zu tun, wenn sie den rechner jemals wieder fürs banking nutzen will wirds wohl auf nen format raus laufen __________________ --> Hilfe, wie werde ich den wieder los: TR/EyeStye.H.37

Hilfe, wie werde ich den wieder los: TR/EyeStye.H.37

Plagegeister aller Art und deren Bekämpfung: Hilfe, wie werde ich den wieder los: TR/EyeStye.H.37