Security Suite entfernen - ComboFix-Auswertung

uka · 25.02.2011, 04:34

Liebe Leute, als erstes vielen Dank für die hervoragende Arbeit im Forum. Ich beobachte das Geschehen schon eine lange Zeit und habe schon so manchen Tipp mitgenommen.
Seit langem hat es mich mal wieder schwerer erwischt:
Ich hatte das Problem wie hier beschrieben:
http://www.trojaner-board.de/89370-s...entfernen.html
Dann bin ich auch nach Anleitung vorgegangen. Es hat nix geholfen. Alle empfohlenen Programme und Prozeduren haben nichts erreicht (Malwarebyte's Anti Malware, OTH, TDSS cleaner, rkill, SpywareDoctor, SUPERAntiSpyware u.s.w.). Irgendwann nach einer gefühlten Ewigkeit (ca. 7 Stunden) bin ich auf ein Posting gestoßen, was dann quasi meine letzte Hoffnung war: hxxp://www.hijackthis-forum.de/archiv/40717-your-system-infected-virus-hilfe.html
Da steht nun was von combofix bei bleepingcomputer.com. Das habe ich nach Anleitung auf eigene Faust durchgezogen.
Da mein Rechner, wie gesagt, stark verseucht war und ich keine weiteren Risiken eingehen wollte und im normalen Profil sowieso fast nichts mehr ging, habe ich alles vom abgesicherten Modus aus angeschoben. Jetzt sieht es so aus, als wäre alles wieder ok. Deshalb hier das log-file:
BEGINN##################################Combofix Logfile:

Code:

ATTFilter

ComboFix 11-02-24.02 - Mustermann 25.02.2011 2:49.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.503.377 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mustermann\Desktop\ComboFix.exe
AV: Sophos Anti-Virus *Enabled/Updated* {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
.
 
((((((((((((((((((((((( Dateien erstellt von 2011-01-25 bis 2011-02-25 ))))))))))))))))))))))))))))))
.
 
2011-02-25 01:11 . 2009-11-10 09:28    149456    ----a-w-    c:\windows\SGDetectionTool.dll
2011-02-25 01:11 . 2009-11-10 09:26    767952    ----a-w-    c:\windows\BDTSupport.dll
2011-02-25 01:11 . 2009-11-10 09:28    165840    ----a-w-    c:\windows\PCTBDRes.dll
2011-02-25 01:11 . 2009-11-10 09:28    1640400    ----a-w-    c:\windows\PCTBDCore.dll
2011-02-25 01:10 . 2010-02-05 08:17    233136    ----a-w-    c:\windows\system32\drivers\pctgntdi.sys
2011-02-25 01:10 . 2009-10-06 15:31    87784    ----a-w-    c:\windows\system32\drivers\PCTAppEvent.sys
2011-02-25 01:10 . 2009-09-23 15:10    207280    ----a-w-    c:\windows\system32\drivers\PCTCore.sys
2011-02-25 01:09 . 2010-02-05 08:25    70408    ----a-w-    c:\windows\system32\drivers\pctplsg.sys
2011-02-25 01:09 . 2011-02-25 01:12    --------    d-----w-    c:\programme\Gemeinsame Dateien\PC Tools
2011-02-25 01:09 . 2011-02-25 01:09    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2011-02-25 01:09 . 2011-02-25 01:09    --------    d-----w-    c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\PC Tools
2011-02-25 01:09 . 2011-02-25 02:04    --------    d---a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-02-25 00:18 . 2011-02-25 00:18    --------    d-----w-    c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com
2011-02-25 00:18 . 2011-02-25 00:18    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-02-24 20:14 . 2011-02-25 00:53    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
2011-02-04 09:23 . 2011-02-04 09:13    131824    ----a-w-    c:\windows\system32\sdccoinstaller.dll
2011-02-04 09:22 . 2011-02-04 09:22    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos Web Intelligence
2011-02-04 09:21 . 2011-02-04 09:21    --------    d-----w-    c:\programme\Gemeinsame Dateien\Cisco Systems
2011-02-04 09:20 . 2011-02-04 09:13    28912    ----a-w-    c:\windows\system32\SophosBootTasks.exe
2011-02-04 09:13 . 2011-02-04 09:13    23928    ----a-w-    c:\windows\system32\drivers\sdcfilter.sys
2011-01-30 13:57 . 2011-01-30 13:57    103864    ----a-w-    c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-01-30 13:57 . 2011-01-30 13:57    103864    ----a-w-    c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
 
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-04 09:13 . 2006-11-29 10:37    24064    ----a-w-    c:\windows\system32\drivers\savonaccessfilter.sys
2011-02-04 09:13 . 2006-11-29 10:37    153344    ----a-w-    c:\windows\system32\drivers\savonaccesscontrol.sys
2011-01-21 14:44 . 2002-08-29 12:00    440832    ----a-w-    c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2002-08-29 12:00    290048    ----a-w-    c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2002-08-29 12:00    1855104    ----a-w-    c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2002-08-29 12:00    301568    ----a-w-    c:\windows\system32\kerberos.dll
2010-12-20 23:52 . 2002-08-29 12:00    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2002-08-29 12:00    43520    ----a-w-    c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2002-08-29 12:00    1469440    ----a-w-    c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2002-08-29 12:00    737792    ----a-w-    c:\windows\system32\lsasrv.dll
2010-12-20 17:09 . 2010-10-20 07:01    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-10-20 07:01    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-12-20 12:55 . 2006-11-29 09:47    385024    ----a-w-    c:\windows\system32\html.iec
2010-12-09 15:15 . 2002-08-29 12:00    743936    ----a-w-    c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2002-08-29 12:00    2195072    ----a-w-    c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2002-08-29 03:41    2071680    ----a-w-    c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2002-08-29 12:00    33280    ----a-w-    c:\windows\system32\csrsrv.dll
.
 
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"NBJ"="d:\programme_2\Ahead\Nero BackItUp\nbj.exe" [2006-09-15 2048000]
"updateMgr"="d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [2006-03-30 313472]
"SUPERAntiSpyware"="d:\programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-02-18 2423752]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-08-20 118784]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-10-28 198160]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"Acrobat Assistant 7.0"="d:\programme_2\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"QuickTime Task"="d:\programme_2\QuickTime\QTTask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="d:\programme_2\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Sophos AutoUpdate Monitor"="c:\programme\Sophos\AutoUpdate\almon.exe" [2011-02-04 439536]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2010-2-18 25214]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
OKI LPR Utility.lnk - c:\programme\Okidata\OKI LPR Utility\okilpr.exe [2008-1-8 151552]
 
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme_2\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Taskman"=""
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21    548352    ----a-w-    d:\programme_2\SUPERAntiSpyware\SASWINLO.DLL
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@=""
 
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Real\\realplay.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
 
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [25.02.2011 02:10 207280]
R1 SASDIFSV;SASDIFSV;d:\programme_2\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;d:\programme_2\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [29.11.2006 11:37 153344]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [29.11.2006 11:37 24064]
R2 Browser Defender Update Service;Browser Defender Update Service;d:\programme_2\Spyware Doctor\BDT\BDTUpdateService.exe [25.02.2011 02:11 112592]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [04.02.2011 10:13 163056]
R2 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [04.02.2011 10:13 97520]
S3 NDISKIO;NDISKIO;\??\c:\dokume~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys --> c:\dokume~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys [?]
S3 sdcfilter;sdcfilter;c:\windows\system32\drivers\sdcfilter.sys [04.02.2011 10:13 23928]
S4 SophosBootDriver;SophosBootDriver;c:\windows\system32\drivers\SophosBootDriver.sys [02.10.2008 08:38 14976]
.
Inhalt des "geplante Tasks" Ordners
 
2011-02-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
 
2011-02-25 c:\windows\Tasks\User_Feed_Synchronization-{ED772B8A-90FA-4845-B169-034681B6017E}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.tu-clausthal.de/Welcome.php.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
TCP: {2E691B91-6470-4169-97DB-EF382D77A35D} = 139.174.2.5,139.174.2.6
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programme\real\browserrecord\firefox\ext
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
 
BHO-{EA5CA8B6-9B9C-4994-A7A1-947B6C631BE7} - d:\programme_2\RegTweaker\key.dll
HKCU-Run-Getdo - (no file)
HKLM-Run-Corel Reminder - (no file)
AddRemove-ElsterFormular 11.4.1.4323 - h:\roboter\C_Programme\Neue_Programme\uninstall.exe
AddRemove-Teamspeak 2 RC2_is1 - g:\teamspeak2_rc2\unins000.exe
 
 
 
**************************************************************************
 
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-25 03:06
Windows 5.1.2600 Service Pack 3 NTFS
 
Scanne versteckte Prozesse... 
 
Scanne versteckte Autostarteinträge... 
 
Scanne versteckte Dateien... 
 
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
 
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 
- - - - - - - > 'winlogon.exe'(568)
d:\programme_2\SUPERAntiSpyware\SASWINLO.DLL
 
- - - - - - - > 'lsass.exe'(624)
c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
 
- - - - - - - > 'explorer.exe'(2588)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\webcheck.dll
c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\Sophos\AutoUpdate\ALsvc.exe
c:\programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
c:\programme\Logitech\MouseWare\system\em_exec.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-25 03:24:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-02-25 02:24
 
Vor Suchlauf: 496.738.304 Bytes frei
Nach Suchlauf: 987.848.704 Bytes frei
 
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
 
- - End Of File - - AA006116AFD58359B3F0B4E1356A8F08

--- --- ---

ENDE###################################
Ich bitte Euch um Hilfe, das log-file auszuwerten. Kann man entnehmen, dass mein System wieder geheilt ist?
Und noch ein Nachsatz: Ich habe, als die Seuche erstmals auftrat, sofort den Stecker gezogen, um zu verhindern, dass sich noch massig viel selbst installiert. Dabei habe ich auch meine externe Platte abgeklemmt und noch nicht wieder drangehängt. Was sollte ich diesbezüglich tun?

Vielen Dank schonmal im Vorraus.

cosinus · 25.02.2011, 09:42

Überlesen? => http://www.trojaner-board.de/95176-combofix.html

Was ist mit den anderen Tools? Poste dazu alle Logs die du hast. Gerne auch alle zusammen komprimiert in einer ZIP-Datei.

uka · 25.02.2011, 10:16

Das habe ich ja erst später gesehen! Unter hxxp://www.hijackthis-forum.de/archiv/40717-your-system-infected-virus-hilfe.html war der letzte Eintrag mit dem Hinweis auf bleepingcomputer und combofix ohne diese Warnung.

Hier noch ein paar logs:
rkill############################################

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 24.02.2011 at 23:06:53.
Operating System: Microsoft Windows XP

Processes terminated by Rkill or while it was running:

C:\WINDOWS\system32\verclsid.exe

Rkill completed on 24.02.2011 at 23:06:59.
#############################################
nochmal rkill#####################################
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 25.02.2011 at 0:21:58.
Operating System: Microsoft Windows XP

Processes terminated by Rkill or while it was running:

D:\Programme_2\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\WINDOWS\system32\verclsid.exe

Rkill completed on 25.02.2011 at 0:22:04.
###############################################
hjt#############################################
Logfile of HijackThis v1.99.1
Scan saved at 23:59:42, on 24.02.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.tu-clausthal.de/Welcome.php.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\programme\real\rpbrowserrecordplugin.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - c:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme_2\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme_2\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme_2\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Sophos AutoUpdate Monitor] c:\Programme\Sophos\AutoUpdate\almon.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "D:\Programme_2\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme_2\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "D:\Programme_2\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [updateMgr] "D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_1_0 -reboot 1
O4 - HKCU\..\Run: [Doblt] C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Adobe\Update\dxwid.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220447215796
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E691B91-6470-4169-97DB-EF382D77A35D}: NameServer = 139.174.2.5,139.174.2.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E691B91-6470-4169-97DB-EF382D77A35D}: NameServer = 139.174.2.5,139.174.2.6
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E691B91-6470-4169-97DB-EF382D77A35D}: NameServer = 139.174.2.5,139.174.2.6
O20 - AppInit_DLLs: c:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Web Intelligence Service (swi_service) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe

##########################################
Norman TDSS Cleaner############################
Norman TDSS Cleaner
Version 2.0.2
Copyright © 1990 - 2010, Norman ASA. Built 2010/11/12 12:32:24

Scan started: 2011/02/24 23:30:50

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3(Safe mode with network)
Logged on user: ROBOTER\***

Scanning kernel...

Scan complete
#############################################

cosinus · 25.02.2011, 11:45

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

uka · 25.02.2011, 13:10

Hallo arne,

viele dank erstmal für die Hilfe. Einen mbam-Vollscan muss ich noch machen. Ansonsten sind im folgenden einige Scans aufgeführt, nach Uhrzeit geordnet. Einen älteren Scan habe ich auch mal drangehängt (a).

OTL liefere ich nach...

hier die mbam-logs:
a#########################
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4888

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.10.2010 09:34:06
mbam-log-2010-10-20 (09-34-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167753
Laufzeit: 24 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Helper\bin\liveu.exe (Trojan.Agent) -> Quarantined and deleted successfully.

##########################
1#########################
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4888

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

24.02.2011 22:49:37
mbam-log-2011-02-24 (22-49-37).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 166648
Laufzeit: 8 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Benutzer\Mustermann\Eigene Dateien\downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
##########################
2#########################
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4888

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

24.02.2011 22:49:37
mbam-log-2011-02-24 (22-49-37).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 166648
Laufzeit: 8 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Benutzer\Mustermann\Eigene Dateien\downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

##########################
3##########################
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5873

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

24.02.2011 23:46:11
mbam-log-2011-02-24 (23-46-11).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 176010
Laufzeit: 3 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

##########################
4#########################
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5873

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

25.02.2011 00:14:58
mbam-log-2011-02-25 (00-14-58).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 56
Laufzeit: 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

##########################
5#########################
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5873

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.02.2011 10:00:18
mbam-log-2011-02-25 (10-00-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 176911
Laufzeit: 12 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

##########################

cosinus · 25.02.2011, 13:19

Mach bitte mal einen VOLLSCAN

uka · 25.02.2011, 15:39

Ok, jetzt kommt der Vollscan. Hat ganz schön lange gedauert - und das wo meine große externe Platte immer noch nicht wieder drangehängt ist.
##################################
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5873

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.02.2011 15:20:33
mbam-log-2011-02-25 (15-20-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 242874
Laufzeit: 2 Stunde(n), 7 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
##################################

Während der Malware-Scan lief meldete sich mein Sophos auch mal wieder. Dachte schon der spielt gar nicht mehr mit. Jedenfalls hat der auch was gefunden: siehe Anhang.

Jetzt werde ich noch OTL und ev. noch S+D laufen lassen.

cosinus · 25.02.2011, 15:41

Funde alle entfernt, die Sophos gemeldet hat?
Wenn ja bitte frische OTL Logs erstellen und posten:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

uka · 25.02.2011, 16:09

OTL-Scan (OTL):OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 25.02.2011 15:44:16 - Run 1
OTL by OldTimer - Version 3.2.21.0     Folder = C:\Dokumente und Einstellungen\Mustermann\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
503,00 Mb Total Physical Memory | 90,00 Mb Available Physical Memory | 18,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 51,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 11,72 Gb Total Space | 0,82 Gb Free Space | 7,03% Space Free | Partition Type: NTFS
Drive D: | 12,69 Gb Total Space | 0,35 Gb Free Space | 2,76% Space Free | Partition Type: NTFS
Drive E: | 12,85 Gb Total Space | 2,88 Gb Free Space | 22,38% Space Free | Partition Type: NTFS
Drive U: | 39,06 Gb Total Space | 33,61 Gb Free Space | 86,03% Space Free | Partition Type: NTFS
 
Computer Name: ROBOTER | User Name: Mustermann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Mustermann\Desktop\OTL.exe (OldTimer Tools)
PRC - D:\Programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
PRC - c:\Programme\Sophos\AutoUpdate\ALsvc.exe (Sophos Plc)
PRC - C:\Programme\Sophos\AutoUpdate\ALMon.exe (Sophos Plc)
PRC - C:\Programme\Sophos\Sophos Anti-Virus\SavMain.exe (Sophos Plc)
PRC - c:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe (Sophos Plc)
PRC - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe (Sophos Plc)
PRC - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe (Sophos Plc)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\WINDOWS\system32\drivers\CDAC11BA.EXE (Macrovision)
PRC - D:\Programme_2\Spyware Doctor\BDT\BDTUpdateService.exe (Threat Expert Ltd.)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
PRC - D:\Programme_2\Adobe\Acrobat 7.0\Distillr\acrotray.exe (Adobe Systems Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE (Logitech Inc.)
PRC - C:\WINDOWS\system32\BRSVC01A.EXE (brother Industries Ltd)
PRC - C:\Programme\Okidata\OKI LPR Utility\okilpr.exe (Oki Data Corporation)
PRC - C:\WINDOWS\system32\BRSS01A.EXE (brother Industries Ltd)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Mustermann\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msvcp60.dll (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Logitech\Scrolling\LGMSGHK.DLL (Logitech Inc.)
MOD - C:\Programme\Logitech\MouseWare\system\LgWndHk.dll (Logitech Inc.)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) --  File not found
SRV - (Sophos AutoUpdate Service) -- c:\Programme\Sophos\AutoUpdate\ALsvc.exe (Sophos Plc)
SRV - (swi_service) -- c:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe (Sophos Plc)
SRV - (SAVService) -- c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe (Sophos Plc)
SRV - (SAVAdminService) -- c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe (Sophos Plc)
SRV - (C-DillaCdaC11BA) -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE (Macrovision)
SRV - (sdCoreService) -- D:\Programme_2\Spyware Doctor\pctsSvc.exe (PC Tools)
SRV - (sdAuxService) -- D:\Programme_2\Spyware Doctor\pctsAuxs.exe (PC Tools)
SRV - (Browser Defender Update Service) -- D:\Programme_2\Spyware Doctor\BDT\BDTUpdateService.exe (Threat Expert Ltd.)
SRV - (Brother XP spl Service) -- C:\WINDOWS\system32\BRSVC01A.EXE (brother Industries Ltd)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (SAVOnAccessFilter) -- C:\WINDOWS\system32\drivers\savonaccessfilter.sys (Sophos Plc)
DRV - (sdcfilter) -- C:\WINDOWS\system32\drivers\sdcfilter.sys (Sophos Plc)
DRV - (SAVOnAccessControl) -- C:\WINDOWS\system32\drivers\savonaccesscontrol.sys (Sophos Plc)
DRV - (SophosBootDriver) -- C:\WINDOWS\system32\drivers\SophosBootDriver.sys (Sophos Plc)
DRV - (SASKUTIL) -- D:\Programme_2\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASDIFSV) -- D:\Programme_2\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (CdaC15BA) -- C:\WINDOWS\system32\drivers\CDAC15BA.SYS (Macrovision Europe Ltd)
DRV - (PCTCore) -- C:\WINDOWS\system32\drivers\PCTCore.sys (PC Tools)
DRV - (slabser) -- C:\WINDOWS\system32\drivers\slabser.sys (MCCI)
DRV - (slabbus) USB Data Cable driver (WDM) -- C:\WINDOWS\system32\drivers\slabbus.sys (MCCI)
DRV - (LMouFlt2) -- C:\WINDOWS\system32\drivers\LMouFlt2.Sys (Logitech, Inc.)
DRV - (L8042PR2) -- C:\WINDOWS\system32\drivers\L8042PR2.SYS (Logitech, Inc.)
DRV - (LHidFlt2) -- C:\WINDOWS\system32\drivers\LHidFlt2.Sys (Logitech, Inc.)
DRV - (STAC97) Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\STAC97.sys (SigmaTel, Inc.)
DRV - (AN983) -- C:\WINDOWS\system32\drivers\an983.sys (ADMtek Incorporated.)
DRV - (sermouse) -- C:\WINDOWS\system32\drivers\sermouse.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.tu-clausthal.de/Welcome.php.de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.0.9.3
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: c:\programme\real\browserrecord\firefox\ext [2009.10.28 09:30:44 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.12 20:13:40 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.02.11 16:01:29 | 000,000,000 | ---D | M]
 
[2008.08.27 13:21:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Extensions
[2011.02.25 15:21:43 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\extensions
[2011.01.07 14:05:23 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2011.01.07 14:04:22 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.07.11 23:33:58 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}(2)
[2011.02.25 15:21:43 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.04.09 15:40:44 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2009.10.28 09:30:44 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\PROGRAMME\REAL\BROWSERRECORD\FIREFOX\EXT
[2010.07.01 07:56:43 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.01 07:56:43 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.01 07:56:43 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.01 07:56:44 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.01 07:56:44 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.02.25 03:05:53 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (PC Tools Browser Guard BHO) - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - D:\Programme_2\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\Programme\Real\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Sophos Web Content Scanner) - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - c:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll (Sophos Plc)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (PC Tools Browser Guard) - {472734EA-242A-422B-ADF8-83D1E48CC825} - D:\Programme_2\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 7.0] D:\Programme_2\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (Macrovision Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (Macrovision Corporation)
O4 - HKLM..\Run: [Logitech Utility] C:\WINDOWS\LOGI_MWX.EXE (Logitech Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [Sophos AutoUpdate Monitor] c:\Programme\Sophos\AutoUpdate\ALMon.exe (Sophos Plc)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKCU..\Run: [NBJ] D:\Programme_2\Ahead\Nero BackItUp\nbj.exe (Ahead Software AG)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [SUPERAntiSpyware] D:\Programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O4 - HKCU..\Run: [updateMgr] D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe (Oki Data Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab (Microsoft Office Template and Media Control)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} hxxp://download.microsoft.com/download/6/7/5/675d28f5-2a8e-4bac-bd9b-ee147f352714/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220447215796 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - D:\Programme_2\SUPERAntiSpyware\SASWINLO.DLL - D:\Programme_2\SUPERAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - D:\Programme_2\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.11.29 10:18:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.25 15:41:56 | 000,577,024 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\OTL.exe
[2011.02.25 12:43:14 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.02.25 04:37:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Seuche
[2011.02.25 02:54:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2011.02.25 02:47:53 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011.02.25 02:43:52 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011.02.25 02:43:52 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011.02.25 02:43:52 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011.02.25 02:43:52 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011.02.25 02:43:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.02.25 02:40:05 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.02.25 02:11:44 | 000,149,456 | ---- | C] (PC Tools) -- C:\WINDOWS\SGDetectionTool.dll
[2011.02.25 02:11:43 | 001,640,400 | ---- | C] (Threat Expert Ltd.) -- C:\WINDOWS\PCTBDCore.dll
[2011.02.25 02:11:43 | 000,165,840 | ---- | C] (Threat Expert Ltd.) -- C:\WINDOWS\PCTBDRes.dll
[2011.02.25 02:10:29 | 000,233,136 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctgntdi.sys
[2011.02.25 02:10:10 | 000,207,280 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\PCTCore.sys
[2011.02.25 02:10:10 | 000,087,784 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\PCTAppEvent.sys
[2011.02.25 02:10:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spyware Doctor
[2011.02.25 02:09:59 | 000,070,408 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctplsg.sys
[2011.02.25 02:09:50 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\PC Tools
[2011.02.25 02:09:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
[2011.02.25 02:09:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\PC Tools
[2011.02.25 02:09:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.02.25 01:18:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com
[2011.02.25 01:18:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2011.02.25 00:08:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Sammel
[2011.02.24 23:34:03 | 000,258,560 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\OTH.exe
[2011.02.24 23:27:00 | 002,161,480 | ---- | C] (Norman ASA) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Norman_TDSS_Cleaner.exe
[2011.02.24 23:26:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Desktop\tdsskiller
[2011.02.24 21:14:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
[2011.02.11 15:51:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Ersatzteile
[2011.02.04 10:23:33 | 000,131,824 | ---- | C] (Sophos Plc) -- C:\WINDOWS\System32\sdccoinstaller.dll
[2011.02.04 10:22:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos Web Intelligence
[2011.02.04 10:21:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sophos
[2011.02.04 10:21:17 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Cisco Systems
[2011.02.04 10:20:48 | 000,028,912 | ---- | C] (Sophos Plc) -- C:\WINDOWS\System32\SophosBootTasks.exe
[2011.02.04 10:13:30 | 000,023,928 | ---- | C] (Sophos Plc) -- C:\WINDOWS\System32\drivers\sdcfilter.sys
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[27 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.25 15:38:36 | 000,065,179 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\seuche-sophos_1.jpg
[2011.02.25 15:36:47 | 000,002,516 | -HS- | M] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2011.02.25 13:08:33 | 000,577,024 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\OTL.exe
[2011.02.25 09:36:51 | 000,002,191 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
[2011.02.25 09:36:00 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.02.25 09:34:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.02.25 03:09:40 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{ED772B8A-90FA-4845-B169-034681B6017E}.job
[2011.02.25 03:05:53 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.02.25 02:47:59 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2011.02.25 02:36:14 | 004,274,259 | R--- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\ComboFix.exe
[2011.02.25 01:54:00 | 000,000,107 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Your system is infected - Virus - Hilfe!! ).URL
[2011.02.25 01:18:43 | 000,000,745 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\SUPERAntiSpyware Free Edition.lnk
[2011.02.24 23:33:39 | 000,258,560 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\OTH.exe
[2011.02.24 23:26:39 | 002,161,480 | ---- | M] (Norman ASA) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Norman_TDSS_Cleaner.exe
[2011.02.24 23:25:19 | 001,257,772 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\tdsskiller.zip
[2011.02.24 00:38:30 | 000,000,148 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Samsung CLX-3175N Multifunktionsgerät Amazon.de Computer & Zubehör.URL
[2011.02.22 17:13:07 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011.02.15 17:03:14 | 000,000,820 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bewerbung 2011.lnk
[2011.02.14 14:03:22 | 000,000,813 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bewerbungsunterlagen (40GB-Platte).lnk
[2011.02.11 16:20:32 | 000,000,459 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Herr Leers.lnk
[2011.02.11 16:01:30 | 000,001,594 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2011.02.10 03:37:50 | 000,307,464 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.02.10 03:18:15 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.02.09 11:15:13 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bad_1.doc.lnk
[2011.02.09 11:14:30 | 000,001,157 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Reduction of table ware porcelain firing temperature_1.doc.lnk
[2011.02.04 10:13:57 | 000,131,824 | ---- | M] (Sophos Plc) -- C:\WINDOWS\System32\sdccoinstaller.dll
[2011.02.04 10:13:40 | 000,024,064 | ---- | M] (Sophos Plc) -- C:\WINDOWS\System32\drivers\savonaccessfilter.sys
[2011.02.04 10:13:30 | 000,023,928 | ---- | M] (Sophos Plc) -- C:\WINDOWS\System32\drivers\sdcfilter.sys
[2011.02.04 10:13:27 | 000,153,344 | ---- | M] (Sophos Plc) -- C:\WINDOWS\System32\drivers\savonaccesscontrol.sys
[2011.02.04 10:13:27 | 000,028,912 | ---- | M] (Sophos Plc) -- C:\WINDOWS\System32\SophosBootTasks.exe
[2011.02.02 11:49:56 | 000,000,749 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\_Dissertation.lnk
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[27 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.02.25 15:32:05 | 000,065,179 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\seuche-sophos_1.jpg
[2011.02.25 02:47:59 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2011.02.25 02:47:55 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2011.02.25 02:43:52 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.02.25 02:43:52 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.02.25 02:43:52 | 000,089,088 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.02.25 02:43:52 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.02.25 02:43:52 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.02.25 02:36:08 | 004,274,259 | R--- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\ComboFix.exe
[2011.02.25 02:11:44 | 000,767,952 | ---- | C] () -- C:\WINDOWS\BDTSupport.dll
[2011.02.25 02:11:44 | 000,000,882 | ---- | C] () -- C:\WINDOWS\RegSDImport.xml
[2011.02.25 02:11:44 | 000,000,880 | ---- | C] () -- C:\WINDOWS\RegISSImport.xml
[2011.02.25 02:11:44 | 000,000,131 | ---- | C] () -- C:\WINDOWS\IDB.zip
[2011.02.25 02:11:43 | 001,152,444 | ---- | C] () -- C:\WINDOWS\UDB.zip
[2011.02.25 02:10:29 | 000,007,387 | ---- | C] () -- C:\WINDOWS\System32\drivers\pctgntdi.cat
[2011.02.25 02:10:10 | 000,007,412 | ---- | C] () -- C:\WINDOWS\System32\drivers\PCTAppEvent.cat
[2011.02.25 02:10:10 | 000,007,383 | ---- | C] () -- C:\WINDOWS\System32\drivers\pctcore.cat
[2011.02.25 02:09:59 | 000,007,383 | ---- | C] () -- C:\WINDOWS\System32\drivers\pctplsg.cat
[2011.02.25 01:54:00 | 000,000,107 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Your system is infected - Virus - Hilfe!! ).URL
[2011.02.25 01:18:43 | 000,000,745 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\SUPERAntiSpyware Free Edition.lnk
[2011.02.24 23:25:53 | 001,257,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\tdsskiller.zip
[2011.02.24 00:38:30 | 000,000,148 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Samsung CLX-3175N Multifunktionsgerät Amazon.de Computer & Zubehör.URL
[2011.02.15 17:03:14 | 000,000,820 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bewerbung 2011.lnk
[2011.02.14 14:03:22 | 000,000,813 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bewerbungsunterlagen (40GB-Platte).lnk
[2011.02.11 16:20:32 | 000,000,459 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Herr Leers.lnk
[2011.02.09 11:15:13 | 000,000,944 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bad_1.doc.lnk
[2011.02.09 11:14:30 | 000,001,157 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Reduction of table ware porcelain firing temperature_1.doc.lnk
[2011.02.02 11:49:56 | 000,000,749 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\_Dissertation.lnk
[2010.07.22 08:34:15 | 000,000,246 | ---- | C] () -- C:\WINDOWS\OPHJ.INI
[2010.02.15 15:05:26 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.01.02 18:24:00 | 000,021,504 | ---- | C] () -- C:\WINDOWS\jestertb.dll
[2009.09.10 14:45:30 | 000,009,394 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Tabulatorgetrennte Werte (Windows).CAL
[2009.09.10 14:42:21 | 000,009,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Kommagetrennte Werte (Windows).CAL
[2009.03.12 19:01:02 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2008.12.05 11:06:07 | 000,000,028 | ---- | C] () -- C:\WINDOWS\MotionDVSTUDIO.INI
[2008.06.09 17:40:00 | 000,000,173 | ---- | C] () -- C:\WINDOWS\viewer.ini
[2007.05.04 17:00:51 | 000,002,516 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2007.03.22 09:49:26 | 000,000,389 | ---- | C] () -- C:\WINDOWS\OPLN.INI
[2007.02.05 20:43:30 | 000,018,176 | ---- | C] () -- C:\WINDOWS\System32\drivers\sermouse.sys
[2007.01.05 01:22:34 | 000,001,759 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2007.01.02 11:24:27 | 000,000,041 | ---- | C] () -- C:\WINDOWS\pos.ini
[2006.12.28 20:58:59 | 000,000,516 | ---- | C] () -- C:\WINDOWS\ob1.INI
[2006.12.11 14:37:22 | 000,117,683 | ---- | C] () -- C:\WINDOWS\cgmxp32.ini
[2006.12.06 11:33:56 | 000,207,360 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.11.29 14:38:26 | 000,000,040 | ---- | C] () -- C:\WINDOWS\BO5170DN.INI
[2006.11.29 14:37:56 | 000,000,482 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2006.11.29 14:37:56 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\brss01a.ini
[2006.11.29 14:37:56 | 000,000,026 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2006.11.29 11:04:32 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.11.29 10:02:04 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006.10.13 11:30:10 | 000,668,976 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL
[2000.10.16 15:16:38 | 000,225,280 | ---- | C] () -- C:\WINDOWS\System32\Scint100.dll
[2000.10.16 15:16:38 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\sccres100.dll
 
========== LOP Check ==========
 
[2010.02.11 14:49:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2010.12.13 20:55:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2011.02.25 01:53:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
[2008.12.05 10:45:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panasonic
[2011.02.25 09:45:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2011.02.04 10:20:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
[2011.02.04 10:22:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos Web Intelligence
[2011.02.25 09:35:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2007.01.04 12:13:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Autodesk
[2008.12.05 19:53:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\avidemux
[2010.12.13 21:26:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\elsterformular
[2008.12.05 19:53:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\gtk-2.0
[2008.08.25 15:48:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mobile Master
[2006.12.29 15:19:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\OfficeUpdate12
[2007.05.08 09:25:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\SMSServant
[2009.02.09 15:15:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Stellarium
[2010.10.11 10:31:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\TrusteerHelp
[2010.08.12 14:06:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Uniblue
[2011.02.25 03:09:40 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{ED772B8A-90FA-4845-B169-034681B6017E}.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> D:\Benutzer\Mustermann\Eigene Dateien\spider_1.sav:SummaryInformation
@Alternate Data Stream - 158 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8

< End of report >

--- --- ---

OTL-Scan (Extras):OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 25.02.2011 15:44:23 - Run 1
OTL by OldTimer - Version 3.2.21.0     Folder = C:\Dokumente und Einstellungen\Mustermann\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
503,00 Mb Total Physical Memory | 90,00 Mb Available Physical Memory | 18,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 51,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 11,72 Gb Total Space | 0,82 Gb Free Space | 7,03% Space Free | Partition Type: NTFS
Drive D: | 12,69 Gb Total Space | 0,35 Gb Free Space | 2,76% Space Free | Partition Type: NTFS
Drive E: | 12,85 Gb Total Space | 2,88 Gb Free Space | 22,38% Space Free | Partition Type: NTFS
Drive U: | 39,06 Gb Total Space | 33,61 Gb Free Space | 86,03% Space Free | Partition Type: NTFS
 
Computer Name: ROBOTER | User Name: Mustermann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme_2\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme_2\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
"" = 
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Teamspeak2_RC2\server_windows.exe" = C:\Programme\Teamspeak2_RC2\server_windows.exe:*:Enabled:Server -- ()
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Real\realplay.exe" = C:\Programme\Real\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{15C418EB-7675-42be-B2B3-281952DA014D}" = Sophos AutoUpdate
"{230B6B75-2B15-4FF2-B50D-6EDA33A7FDA9}" = OriginPro7G
"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 19
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{332D9DDE-7A4E-40B6-927C-E83F1957C7E7}" = MobileMaster
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{38ADB9A6-798C-11D6-A855-00105A80791C}" = OKI Network Extension
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{4CFD22CE-415D-4B1D-8EA7-F1EEF0E0995E}" = SMS Outlook AddIn
"{4E98F23B-1328-4322-A6EC-2EDC8FC3A4FE}" = FontNav
"{5783F2D7-0205-0407-0002-0060B0CE6BBA}" = AutoCAD Mechanical 2004
"{5809E7CF-4DCF-11D4-9875-00105ACE7734}" = Logitech MouseWare 9.79.1 
"{63218538-4A69-497F-8455-904261B0E9E4}" = CorelDRAW Graphics Suite X3
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6EECB283-E65F-40EF-86D3-D51BF02A8D43}" = Microsoft Office Converter Pack
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics Driver
"{90110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90850407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{9ACB414D-9347-40B6-A453-5EFB2DB59DFA}" = Sophos Anti-Virus
"{A344F95E-E51A-450C-8F84-C940BF61903E}" = OKI Color Swatch-Dienstprogramm
"{AC76BA86-1033-F400-7760-100000000002}" = Adobe Acrobat 7.0 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.2 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B652CC58-6222-4149-B52D-C632AEE8C66C}" = NI LabVIEW Run-Time Engine 6.0.2
"{C94E45B0-6AA6-4FB9-9AAE-22085F631880}" = VBA
"{C9FB6FFC-B3D2-4AA0-AC05-73DB7796B638}" = DE
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware
"{D3EE034D-5B92-4A55-AA02-2E6D0A6A96EE}" = Windows Resource Kit Tools - SubInAcl.exe
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}" = Update Manager
"{F9B32332-3A66-4480-9769-CAB45CA1D179}" = MotionDV STUDIO 5.1E LE for DV
"Adobe Acrobat 7.0 Professional - English, Français, Deutsch - V" = Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"Autodesk Express Viewer" = Autodesk Express Viewer
"Browser Defender_is1" = Browser Defender 2.0.6.11
"CCleaner" = CCleaner
"CdaC13Ba" = SafeCast Shared Components
"FileZilla" = FileZilla (remove only)
"FreePDF_XP" = FreePDF XP (Remove only)
"GPL Ghostscript 8.62" = GPL Ghostscript 8.62
"GPL Ghostscript Fonts" = GPL Ghostscript Fonts
"HijackThis" = HijackThis 1.99.1
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NeroVision!UninstallKey" = Nero Digital
"NETZSCH Componenten Kinetics 1" = NETZSCH Componenten Kinetics 1
"NETZSCH Thermal Simulations 2" = NETZSCH Thermal Simulations 2
"NETZSCH ThermoKinetics3" = NETZSCH ThermoKinetics3
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NMIX!UninstallKey" = NeroMIX
"NMPUninstallKey" = Nero Media Player
"NVEContent!UninstallKey" = NeroVision Express Content
"OKI LPR Utility" = OKI LPR Utility
"PuTTY_is1" = PuTTY version 0.60
"RealPlayer 12.0" = RealPlayer
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Security Task Manager" = Security Task Manager 1.7
"Spyware Doctor" = Spyware Doctor 7.0
"TeamSpeak 2 Server_is1" = TeamSpeak 2 Server RC2
"TextMaker Viewer" = TextMaker Viewer
"The Off By One Web Browser" = The Off By One Web Browser
"USBCOMM&10AB&10C5" = USB Data Cable
"VLC media player" = VLC media player 1.0.5
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Advanced EFS Data Recovery" = Advanced EFS Data Recovery
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 26.09.2010 13:21:42 | Computer Name = ROBOTER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 10.0.2627.1, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 26.09.2010 14:13:09 | Computer Name = ROBOTER | Source = Microsoft Office 10 | ID = 2001
Description = Rejected Safe Mode action : Microsoft Outlook.
 
Error - 06.10.2010 04:48:40 | Computer Name = ROBOTER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Acrobat.exe, Version 7.0.8.218, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 06.10.2010 04:51:10 | Computer Name = ROBOTER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 9.3.3.177, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 13.10.2010 08:34:23 | Computer Name = ROBOTER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 10.0.2627.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 13.10.2010 08:34:27 | Computer Name = ROBOTER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 10.0.2627.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 24.02.2011 19:06:41 | Computer Name = ROBOTER | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\DOKUME~1\Mustermann\LOKALE~1\Temp\STOPzilla!\SZPro5.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 24.02.2011 19:13:05 | Computer Name = ROBOTER | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\DOKUME~1\Mustermann\LOKALE~1\Temp\STOPzilla!\SZPro5.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 24.02.2011 19:24:18 | Computer Name = ROBOTER | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\DOKUME~1\Mustermann\LOKALE~1\Temp\STOPzilla!\SZPro5.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 24.02.2011 19:26:52 | Computer Name = ROBOTER | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\DOKUME~1\Mustermann\LOKALE~1\Temp\STOPzilla!\SZPro5.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
[ System Events ]
Error - 24.02.2011 20:26:37 | Computer Name = ROBOTER | Source = Srv | ID = 2000
Description = Der Aufruf eines Systemdienstes durch den Serverdienst ist unerwartet
 fehlgeschlagen.
 
Error - 24.02.2011 20:56:02 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 24.02.2011 20:59:29 | Computer Name = ROBOTER | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   Fips  intelppm  SASDIFSV  SASKUTIL  SAVOnAccessControl  SAVOnAccessFilter
 
Error - 24.02.2011 20:59:48 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 24.02.2011 21:10:11 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 24.02.2011 21:21:40 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 24.02.2011 21:36:34 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 24.02.2011 21:42:12 | Computer Name = ROBOTER | Source = Service Control Manager | ID = 7034
Description = Dienst "Sophos Anti-Virus" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 24.02.2011 22:02:01 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 24.02.2011 22:20:29 | Computer Name = ROBOTER | Source = Service Control Manager | ID = 7016
Description = Der Dienst "BrSplService" hat einen ungültigen aktuellen Status gemeldet:
 0
 
 
< End of report >

--- --- ---

uka · 25.02.2011, 16:10

Das war übrigens vor dem Löschen der Sophos-Meldungen.

uka · 25.02.2011, 19:07

Hallo Arne,

habe jetzt den letzten Scan fertig: Spybot S&D hat auch gar nichts gefunden.
Möglicherweise habe ich einen Fehler gemacht:
Nach dem ersten OTL-Scan habe ich die Sophos-Meldungen bereinigt. Danach habe ich noch einen Quick-Scan mit OTL gemacht und danach einfach auf "Bereinigen" gedrückt. Da startete sofort eine Prozedur und es sind ein paar Sachen vom Desktop verschwunden. Im Grunde bin ich der Meinung, bei so einem Krebsgeschwür lieber etwas mehr wegschneiden als zu wenig. Ich hoffe, dass jetzt die Seuche beseitigt worden ist.
Das System ist mir reichlich unwichtig, aber meine Daten wollte ich nicht verlieren und vor allem nicht infizieren. Somit bleibt die Frage, ob das nun ausreichend gewährleistet ist und was mache ich richtigerweise mit meiner externen Festplatte, die die ganzen Scanprozeduren bis jetzt nicht erfahren hat.

Viele liebe Grüße und herzlichen Dank für die Hilfe

Uwe

cosinus · 26.02.2011, 19:42

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
@Alternate Data Stream - 88 bytes -> D:\Benutzer\Mustermann\Eigene Dateien\spider_1.sav:SummaryInformation
@Alternate Data Stream - 158 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
[2011.02.25 01:53:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

uka · 28.02.2011, 11:48

Habe ich gemacht. War leider unkonzentriert und hatte vergessen, den Mustermann zu ändern. Aber das, worum es dabei ging, ist sowieso nur ein gespeicherter Spielstand vom Winowsspiel Spider Solitär. Also nichts Entscheidendes. Hier nun das log file:
Anfang###############
All processes killed
========== OTL ==========
Unable to delete ADS D:\Benutzer\Mustermann\Eigene Dateien\spider_1.sav:SummaryInformation .
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

FC5A2B2 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mKlJeDa06504\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
->Flash cache emptied: 405 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Mustermann
->Temp folder emptied: 377553 bytes
->Temporary Internet Files folder emptied: 22960449 bytes
->Java cache emptied: 139924 bytes
->FireFox cache emptied: 88566917 bytes
->Flash cache emptied: 22487 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Mustermann2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
->FireFox cache emptied: 12988198 bytes
->Flash cache emptied: 348 bytes

User: Mustermann3
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2979 bytes
->FireFox cache emptied: 24822405 bytes
->Flash cache emptied: 627 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139177 bytes
%systemroot%\System32 .tmp files removed: 3048839 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3378718 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 150,00 mb

OTL by OldTimer - Version 3.2.21.0 log created on 02282011_111145

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ende################

Wegen meines anfänglichen Fehlers habe ich das nochmal laufenlassen:
Anfang###############
All processes killed
========== OTL ==========
ADS D:\Benutzer\Mustermann\Eigene Dateien\spider_1.sav:SummaryInformation deleted successfully.
Unable to delete ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

FC5A2B2 .
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mKlJeDa06504\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Mustermann
->Temp folder emptied: 372245 bytes
->Temporary Internet Files folder emptied: 206756 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3711513 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Mustermann2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Mustermann3
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3357748 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 7,00 mb

OTL by OldTimer - Version 3.2.21.0 log created on 02282011_112646

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ende################

Um nochmal zurückzukommen auf meine externe Platte: Wie gehe ich damit gefahrlos um?

Viele Grüße

uka

cosinus · 28.02.2011, 13:16

Zitat:

Wie gehe ich damit gefahrlos um?

1.) Auf dem Windows-Rechner automatische Wiedergabe (Autorun) auf allen Laufwerken deaktivieren.

Um den unter Windows zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

2.) Lass dir alle Dateien anzeigen http://www.trojaner-board.de/59624-a...-sichtbar.html

3.) Jetzt möglicherweise infizierte USB-Datenträger anschließen

4.) Findest du auf einem Stick oder einer USB-Platte eine autorun.inf, so ist dieser Datenträger womöglich mit einem Autorun-Wurm infiziert - autorun.inf mit dem Editor öffnen und den Inhalt dieser Datei hier posten

Aber erstmal CF ausführen würd ich sagen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

uka · 28.02.2011, 15:07

CF-Logfile:
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-02-27.02 - Mustermann 28.02.2011  14:40:25.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.503.242 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mustermann\Desktop\cofi.exe
AV: Sophos Anti-Virus *Disabled/Updated* {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\jestertb.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-28 bis 2011-02-28  ))))))))))))))))))))))))))))))
.

2011-02-28 10:11 . 2011-02-28 10:11	--------	d-----w-	C:\_OTL
2011-02-25 01:11 . 2009-11-10 09:28	149456	----a-w-	c:\windows\SGDetectionTool.dll
2011-02-25 01:11 . 2009-11-10 09:26	767952	----a-w-	c:\windows\BDTSupport.dll
2011-02-25 01:11 . 2009-11-10 09:28	165840	----a-w-	c:\windows\PCTBDRes.dll
2011-02-25 01:11 . 2009-11-10 09:28	1640400	----a-w-	c:\windows\PCTBDCore.dll
2011-02-25 01:10 . 2010-02-05 08:17	233136	----a-w-	c:\windows\system32\drivers\pctgntdi.sys
2011-02-25 01:10 . 2009-10-06 15:31	87784	----a-w-	c:\windows\system32\drivers\PCTAppEvent.sys
2011-02-25 01:10 . 2009-09-23 15:10	207280	----a-w-	c:\windows\system32\drivers\PCTCore.sys
2011-02-25 01:09 . 2010-02-05 08:25	70408	----a-w-	c:\windows\system32\drivers\pctplsg.sys
2011-02-25 01:09 . 2011-02-25 01:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\PC Tools
2011-02-25 01:09 . 2011-02-25 01:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2011-02-25 01:09 . 2011-02-25 01:09	--------	d-----w-	c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\PC Tools
2011-02-25 01:09 . 2011-02-28 10:29	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-02-25 00:18 . 2011-02-25 00:18	--------	d-----w-	c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com
2011-02-25 00:18 . 2011-02-25 00:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-02-24 20:14 . 2011-02-25 00:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
2011-02-04 09:23 . 2011-02-04 09:13	131824	----a-w-	c:\windows\system32\sdccoinstaller.dll
2011-02-04 09:22 . 2011-02-04 09:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos Web Intelligence
2011-02-04 09:21 . 2011-02-04 09:21	--------	d-----w-	c:\programme\Gemeinsame Dateien\Cisco Systems
2011-02-04 09:20 . 2011-02-04 09:13	28912	----a-w-	c:\windows\system32\SophosBootTasks.exe
2011-02-04 09:13 . 2011-02-04 09:13	23928	----a-w-	c:\windows\system32\drivers\sdcfilter.sys
2011-01-30 13:57 . 2011-01-30 13:57	103864	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-01-30 13:57 . 2011-01-30 13:57	103864	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-04 09:13 . 2006-11-29 10:37	24064	----a-w-	c:\windows\system32\drivers\savonaccessfilter.sys
2011-02-04 09:13 . 2006-11-29 10:37	153344	----a-w-	c:\windows\system32\drivers\savonaccesscontrol.sys
2011-01-21 14:44 . 2002-08-29 12:00	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2002-08-29 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2002-08-29 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2002-08-29 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 23:52 . 2002-08-29 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2002-08-29 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2002-08-29 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2002-08-29 12:00	737792	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 17:09 . 2010-10-20 07:01	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-10-20 07:01	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-20 12:55 . 2006-11-29 09:47	385024	----a-w-	c:\windows\system32\html.iec
2010-12-09 15:15 . 2002-08-29 12:00	743936	----a-w-	c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2002-08-29 12:00	2195072	----a-w-	c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2002-08-29 03:41	2071680	----a-w-	c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2002-08-29 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"NBJ"="d:\programme_2\Ahead\Nero BackItUp\nbj.exe" [2006-09-15 2048000]
"updateMgr"="d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [2006-03-30 313472]
"SUPERAntiSpyware"="d:\programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-02-18 2423752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-08-20 118784]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-10-28 198160]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"Acrobat Assistant 7.0"="d:\programme_2\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"QuickTime Task"="d:\programme_2\QuickTime\QTTask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="d:\programme_2\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Sophos AutoUpdate Monitor"="c:\programme\Sophos\AutoUpdate\almon.exe" [2011-02-04 439536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2010-2-18 25214]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
OKI LPR Utility.lnk - c:\programme\Okidata\OKI LPR Utility\okilpr.exe [2008-1-8 151552]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme_2\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21	548352	----a-w-	d:\programme_2\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Real\\realplay.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [25.02.2011 02:10 207280]
R1 SASDIFSV;SASDIFSV;d:\programme_2\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;d:\programme_2\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [29.11.2006 11:37 153344]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [29.11.2006 11:37 24064]
R2 Browser Defender Update Service;Browser Defender Update Service;d:\programme_2\Spyware Doctor\BDT\BDTUpdateService.exe [25.02.2011 02:11 112592]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [04.02.2011 10:13 163056]
R2 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [04.02.2011 10:13 97520]
R2 swi_service;Sophos Web Intelligence Service;c:\programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [04.02.2011 10:13 1541360]
S3 NDISKIO;NDISKIO;\??\c:\dokume~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys --> c:\dokume~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys [?]
S3 sdAuxService;PC Tools Auxiliary Service;d:\programme_2\Spyware Doctor\pctsAuxs.exe [25.02.2011 02:09 365280]
S3 sdcfilter;sdcfilter;c:\windows\system32\drivers\sdcfilter.sys [04.02.2011 10:13 23928]
S4 SophosBootDriver;SophosBootDriver;c:\windows\system32\drivers\SophosBootDriver.sys [02.10.2008 08:38 14976]
.
Inhalt des "geplante Tasks" Ordners

2011-02-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2011-02-28 c:\windows\Tasks\User_Feed_Synchronization-{ED772B8A-90FA-4845-B169-034681B6017E}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.tu-clausthal.de/Welcome.php.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
TCP: {2E691B91-6470-4169-97DB-EF382D77A35D} = 139.174.2.5,139.174.2.6
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programme\real\browserrecord\firefox\ext
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-28 14:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(568)
d:\programme_2\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\igfxsrvc.dll
c:\windows\system32\hccutils.DLL

- - - - - - - > 'lsass.exe'(624)
c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
.
Zeit der Fertigstellung: 2011-02-28  14:59:13
ComboFix-quarantined-files.txt  2011-02-28 13:59

Vor Suchlauf: 610.570.240 Bytes frei
Nach Suchlauf: 602.791.936 Bytes frei

- - End Of File - - 4A765665AF2598FDA7FD2C9BB9283541

--- --- ---

25.02.2011, 09:42	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Security Suite entfernen - ComboFix-Auswertung Überlesen? => http://www.trojaner-board.de/95176-combofix.html Was ist mit den anderen Tools? Poste dazu alle Logs die du hast. Gerne auch alle zusammen komprimiert in einer ZIP-Datei. __________________ __________________

25.02.2011, 13:19	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Security Suite entfernen - ComboFix-Auswertung Mach bitte mal einen VOLLSCAN __________________ --> Security Suite entfernen - ComboFix-Auswertung

Security Suite entfernen - ComboFix-Auswertung

Plagegeister aller Art und deren Bekämpfung: Security Suite entfernen - ComboFix-Auswertung