TR/Trash.Gen

sanchopancho · 10.03.2011, 14:09

Hallo,

ich habe einiges zu dem Schädling gefunden, aber die Abarbeitungen, die hier im Forum empfohlen wird scheint nicht ganz auf mein Problem zuzutreffen.
Ich habe den Fehler bemerkt, weil plötzlich drag+drop und strgc strgv mit Datein nicht mehr funktioniert hat. (in word z.B. geht strgc strgv noch, aber nicht drag+drop) Ich habe bei google einen Hinweis darauf gefunden, das es mit dem Netzwerk DDE-Dienst zusammenhängen könnte. Dieser war tatsächlich deaktiviert und sollte über rechtsklick/Kontextmenu/Eigenschaften wieder aktiviert werden können.
Das Kontextmenu reagiert aber nicht

Dieses Fehlermuster konnte ich leider nirgends finden...
Also geh ich mal davon aus, das es was ernsteres ist.

Wäre wirklich toll, wenn mir jemand helfen könnte.
Anbei Malwarebytes ,otl und GMER log

anbei Malwarebytes log mit Infizierung:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5989

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.03.2011 17:05:22
mbam-log-2011-03-08 (17-05-22).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150552
Laufzeit: 2 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> 192 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\PDFFORGE TOOLBAR\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\PDFFORGE TOOLBAR\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\searchsettings.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\IE\1.1.2\pdfforgetoolbarie.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.

Und nach der Reinigung:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5989

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.03.2011 17:11:53
mbam-log-2011-03-08 (17-11-53).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 150660
Laufzeit: 2 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gmer log:GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-08 23:02:44
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-e WDC_WD1600BEVT-22ZCT0 rev.11.01A11
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kxtdipow.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwConnectPort [0xA746C534]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateFile [0xA7466782]
SSDT BAEA36DE ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreatePort [0xA746CCC0]
SSDT BAEA36D4 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateWaitablePort [0xA746CDF6]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xA7467398]
SSDT BAEA36E3 ZwDeleteKey
SSDT BAEA36ED ZwDeleteValueKey
SSDT BAEA36F2 ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xA7487B44]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenFile [0xA7466FAA]
SSDT BAEA36C0 ZwOpenProcess
SSDT BAEA36C5 ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRenameKey [0xA74888D2]
SSDT BAEA36FC ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRequestWaitReplyPort [0xA746C0F4]
SSDT BAEA36F7 ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xA746775C]
SSDT \SystemRoot\System32\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetSecurityObject [0xA7488E12]
SSDT BAEA36E8 ZwSetValueKey
 
---- Kernel code sections - GMER 1.0.15 ----
 
.text ntkrnlpa.exe!ZwCallbackReturn + 2C99 80504525 3 Bytes JMP 616622BA 
.text ntkrnlpa.exe!ZwCallbackReturn + 2D4C 805045D8 8 Bytes JMP 487B44BA 
.text ntkrnlpa.exe!ZwCallbackReturn + 2FA0 8050482C 4 Bytes CALL 750B3267 
? wnpmbp.sys Das System kann die angegebene Datei nicht finden. !
 
---- User code sections - GMER 1.0.15 ----
 
.text C:\Programme\Mozilla Firefox\plugin-container.exe[1512] USER32.dll!TrackPopupMenu 7E3B531E 5 Bytes JMP 10406373 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Programme\Mozilla Firefox\firefox.exe[3792] ntdll.dll!LdrLoadDll 7C9263A3 5 Bytes JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
 
---- Devices - GMER 1.0.15 ----
 
Device \Driver\Tcpip \Device\Ip vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
 
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
 
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD)
 
---- Registry - GMER 1.0.15 ----
 
Reg HKLM\SOFTWARE\Classes\CLSID\{586A635p     
Reg HKLM\SOFTWARE\Classes\CLSID\{586A635p    @ Animation General Property Page Object
Reg HKLM\SOFTWARE\Classes\CLSID\{586A635p    \InprocServer32 
Reg HKLM\SOFTWARE\Classes\CLSID\{586A635p    \InprocServer32@ C:\WINDOWS\system32\MSCOMCT2.OCX
 
---- EOF - GMER 1.0.15 ----

--- --- ---

Und OTLOTL Logfile:

Code:

ATTFilter

OTL logfile created on: 10.03.2011 13:41:21 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 45,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 13,23 Gb Free Space | 33,87% Space Free | Partition Type: NTFS
Drive D: | 109,98 Gb Total Space | 90,78 Gb Free Space | 82,54% Space Free | Partition Type: NTFS
 
Computer Name: HOME-PC | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.03.10 13:38:17 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe
PRC - [2011.03.05 17:45:56 | 000,912,344 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2011.02.17 08:27:38 | 000,223,912 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avnotify.exe
PRC - [2011.02.06 12:48:38 | 000,134,808 | ---- | M] (Google Inc.) -- C:\Programme\Google\Update\1.2.183.39\GoogleCrashHandler.exe
PRC - [2010.12.20 18:08:46 | 000,963,976 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
PRC - [2010.12.16 09:11:03 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.11.08 17:50:39 | 000,389,288 | ---- | M] (Avira GmbH) -- c:\Programme\Avira\AntiVir Desktop\avcenter.exe
PRC - [2010.11.08 17:50:39 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.11.08 17:50:39 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.08.24 13:05:20 | 022,639,104 | ---- | M] (Serif (Europe) Ltd) -- C:\Programme\Serif\WebPlus\X4\Program\WebPlus.exe
PRC - [2010.08.09 08:22:27 | 012,746,928 | ---- | M] (Mozilla Messaging) -- C:\Programme\Mozilla Thunderbird\thunderbird.exe
PRC - [2010.08.08 20:12:15 | 000,655,624 | ---- | M] (Acresso Software Inc.) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
PRC - [2010.06.28 12:01:30 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) -- C:\WINDOWS\system32\ZoneLabs\vsmon.exe
PRC - [2010.06.28 11:59:52 | 001,043,968 | ---- | M] (Check Point Software Technologies LTD) -- C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.10.09 14:23:54 | 000,688,912 | ---- | M] (CANON INC) -- C:\Programme\Canon\imagePROGRAFStatusMonitor\cnwisam.exe
PRC - [2009.09.05 16:29:06 | 000,385,024 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2008.06.12 01:25:18 | 000,353,640 | ---- | M] (Adobe Systems Incorporated) -- D:\ADOBE\Acrobat 9.0\Acrobat\Acrobat.exe
PRC - [2008.06.11 21:43:26 | 000,640,376 | ---- | M] (Adobe Systems Inc.) -- D:\ADOBE\Acrobat 9.0\Acrobat\acrotray.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.14 06:52:42 | 000,105,472 | ---- | M] (Microsoft Corporation und Executive Software International, Inc.) -- C:\WINDOWS\system32\dfrgntfs.exe
PRC - [2007.08.13 12:47:38 | 000,364,544 | ---- | M] () -- C:\Programme\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
PRC - [2007.08.03 15:06:32 | 000,262,144 | ---- | M] (Silicon Integrated Systems Corporation) -- C:\WINDOWS\system32\sistray.exe
PRC - [2007.07.23 15:46:18 | 001,190,400 | ---- | M] (Internetsoft) -- C:\Programme\FTP Commander\ftpcomm.exe
PRC - [2007.02.02 16:26:44 | 000,283,136 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\FRITZWLANMini.exe
PRC - [2006.12.19 18:23:20 | 000,094,208 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe
PRC - [2005.11.10 12:03:52 | 000,036,975 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
PRC - [2005.05.11 02:09:54 | 000,225,280 | ---- | M] (O&O Software GmbH) -- C:\WINDOWS\system32\oodag.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.03.10 13:38:17 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe
MOD - [2008.04.14 06:50:12 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - [2010.12.16 09:11:03 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.29 10:41:26 | 000,058,944 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010.11.08 17:50:39 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.08.08 20:12:15 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010.06.28 12:01:30 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Running] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.05.28 08:49:11 | 000,072,704 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2010.03.29 07:53:22 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2009.10.09 14:23:54 | 000,688,912 | ---- | M] (CANON INC) [Auto | Running] -- C:\Programme\Canon\imagePROGRAFStatusMonitor\cnwisam.exe -- (Canon imagePROGRAF Status Monitor)
SRV - [2008.08.15 04:46:20 | 000,284,016 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe -- (Adobe Version Cue CS4)
SRV - [2006.12.19 18:23:20 | 000,094,208 | ---- | M] (SEIKO EPSON CORPORATION) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe -- (EpsonBidirectionalService)
SRV - [2006.06.01 20:06:00 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005.08.24 01:29:52 | 000,118,272 | ---- | M] (TuneUp Software GmbH) [On_Demand | Stopped] -- C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe -- (TUWinStylerThemeSvc)
SRV - [2005.05.11 02:09:54 | 000,225,280 | ---- | M] (O&O Software GmbH) [Auto | Running] -- C:\WINDOWS\system32\oodag.exe -- (O&O Defrag)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.01.29 13:28:35 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.27 12:19:18 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.05.13 09:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2009.05.11 11:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2007.08.10 12:52:44 | 004,603,904 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.08.03 15:31:44 | 000,018,688 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\srvkp.sys -- (SiSkp)
DRV - [2007.08.03 15:10:14 | 000,321,536 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sisgrp.sys -- (SiS315)
DRV - [2007.05.16 11:00:00 | 000,042,368 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SiSGbeXP.sys -- (SiSGbeXP)
DRV - [2007.01.26 00:00:00 | 000,265,088 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2007.01.26 00:00:00 | 000,004,352 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2006.06.16 09:04:38 | 000,035,712 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\SISAGPX.sys -- (SISAGP)
DRV - [2006.06.01 20:06:00 | 000,004,096 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\siside.sys -- (siside)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {000a9d1c-beef-4f90-9363-039d445309b8}:0.5.36.0
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{000a9d1c-beef-4f90-9363-039d445309b8}: C:\Programme\Google\Google Gears\Firefox\ [2011.02.06 12:48:59 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.03.05 17:46:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.05 17:46:02 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.08.09 08:22:28 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010.06.25 14:30:19 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2010.06.25 14:30:19 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.02.26 18:19:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions
[2010.06.08 17:08:04 | 000,000,000 | ---D | M] (CS Lite) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{00084897-021a-4361-8423-083407a033e0}
[2010.06.08 17:08:05 | 000,000,000 | ---D | M] (JonDoFox) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{437be45a-4114-11dd-b9ab-71d256d89593}
[2010.06.08 17:08:06 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.06.08 17:08:05 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.06.08 17:08:04 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.06.08 17:10:39 | 000,000,000 | ---D | M] (Torbutton) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
[2010.06.08 17:08:06 | 000,000,000 | ---D | M] (ProfileSwitcher) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\JonDoFox\extensions\{fa8476cf-a98c-4e08-99b4-65a69cb4b7d4}
[2011.03.08 13:51:24 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\qm12nxk0.default\extensions
[2011.03.08 14:50:51 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.02.06 12:48:59 | 000,000,000 | ---D | M] (Google Gears) -- C:\PROGRAMME\GOOGLE\GOOGLE GEARS\FIREFOX
[2010.07.25 10:48:54 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.25 10:48:54 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.25 10:48:54 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.25 10:48:54 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.25 10:48:54 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.08.08 21:53:07 | 000,000,853 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1                activate.adobe.com
O2 - BHO: (ContributeBHO Class) - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\ADOBE\/Adobe Contribute CS4/contributeieplugin.dll ()
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Gears Helper) - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll (Google Inc.)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Contribute Toolbar) - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\ADOBE\/Adobe Contribute CS4/contributeieplugin.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [SiSPower] C:\WINDOWS\System32\SiSPower.dll (Silicon Integrated Systems Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TouchPadHotKey] C:\Programme\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe ()
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe (Silicon Integrated Systems Corporation)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra 'Tools' menuitem : &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll (Google Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.05.28 08:23:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (OODBS) - C:\WINDOWS\System32\OODBS.exe (O&O Software GmbH)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.03.08 17:16:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\gmer
[2011.03.08 16:52:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2011.03.08 16:52:52 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.03.08 16:52:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.03.08 16:52:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.03.08 16:52:47 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.03.08 16:52:47 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.03.08 16:24:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ConduitEngine
[2011.03.08 16:24:27 | 000,000,000 | ---D | C] -- C:\Programme\ConduitEngine
[2011.03.08 14:49:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\appmgmt
[2011.03.08 13:47:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.03.07 16:25:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\MEINXXL
[2011.03.02 21:56:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\BookingConfirmationPrint-Dateien
[2011.02.27 12:21:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BlueShot
[2011.02.27 12:21:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\BlueShot
[2011.02.27 12:21:17 | 000,000,000 | ---D | C] -- C:\Programme\BlueShot
[2011.02.18 13:13:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\www-fotoleinwand-Bilder
[2011.02.18 13:11:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\www.fotoleinwand
[2011.02.17 14:59:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
[2011.02.17 14:56:19 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2011.02.17 14:56:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2011.02.17 14:56:15 | 000,000,000 | R--D | C] -- C:\Programme\Skype
[2011.02.17 14:56:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
[2011.02.17 14:56:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
 
========== Files - Modified Within 30 Days ==========
 
[2011.03.10 12:53:00 | 000,000,892 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.03.10 12:53:00 | 000,000,888 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.03.10 12:25:29 | 000,019,115 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\AGB-Fotoleinwand-leinwandfoto.pdf
[2011.03.10 12:23:24 | 000,021,076 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Preisliste-fotoleinwand-leinwandfoto.pdf
[2011.03.10 12:04:57 | 000,020,832 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\PreislisteGesamt-Goarto-neu.pdf
[2011.03.10 11:30:09 | 000,903,649 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\mailvorlage.psd
[2011.03.10 10:53:53 | 000,011,912 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\AGB-Goarto-1.pdf
[2011.03.10 10:40:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.03.10 10:40:40 | 000,058,491 | ---- | M] () -- C:\WINDOWS\System32\OODBS.lor
[2011.03.08 17:15:49 | 000,288,107 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.zip
[2011.03.08 17:14:05 | 000,027,343 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\85104-otl-otlogfile-oldtimer.html
[2011.03.08 16:52:52 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.08 13:38:24 | 000,059,392 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.03.08 13:38:24 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.03.08 12:08:00 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2011.03.07 19:39:27 | 006,465,444 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\MEINXXL.rar
[2011.03.06 20:18:18 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.03.02 21:56:23 | 000,003,775 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\BookingConfirmationPrint.htm
[2011.02.19 13:14:57 | 009,168,951 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\HTC_Handbuch.pdf
[2011.02.18 17:16:03 | 000,000,408 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2011.02.18 16:22:33 | 000,010,372 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Widerrufsrecht-fotoleinwand-leinwandfoto.pdf
[2011.02.18 14:41:59 | 000,008,694 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Datenschutzerklärung-fotoleinwand-leinwandfoto.pdf
[2011.02.18 14:32:10 | 000,098,547 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\higru-alle-MIT-FELD--FOTOLEINWAND-EBENEN.jpg
[2011.02.18 13:06:36 | 000,085,053 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\higru-alle-FOTOLEINWAND-.jpg
[2011.02.18 13:04:20 | 000,122,806 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\higru-home-FOTOLEINWAND.jpg
[2011.02.17 14:59:48 | 000,000,056 | -H-- | M] () -- C:\WINDOWS\System32\ezsidmv.dat
 
========== Files Created - No Company Name ==========
 
[2011.03.10 12:04:51 | 000,020,832 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\PreislisteGesamt-Goarto-neu.pdf
[2011.03.10 11:28:29 | 000,903,649 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\mailvorlage.psd
[2011.03.10 10:53:48 | 000,011,912 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\AGB-Goarto-1.pdf
[2011.03.08 17:15:48 | 000,288,107 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.zip
[2011.03.08 17:14:04 | 000,027,343 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\85104-otl-otlogfile-oldtimer.html
[2011.03.08 16:52:52 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.07 16:25:05 | 006,465,444 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\MEINXXL.rar
[2011.03.02 21:56:23 | 000,003,775 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\BookingConfirmationPrint.htm
[2011.02.19 13:14:56 | 009,168,951 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\HTC_Handbuch.pdf
[2011.02.18 16:22:28 | 000,010,372 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Widerrufsrecht-fotoleinwand-leinwandfoto.pdf
[2011.02.18 14:40:55 | 000,008,694 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Datenschutzerklärung-fotoleinwand-leinwandfoto.pdf
[2011.02.18 14:32:10 | 000,098,547 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\higru-alle-MIT-FELD--FOTOLEINWAND-EBENEN.jpg
[2011.02.18 14:23:11 | 000,019,115 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\AGB-Fotoleinwand-leinwandfoto.pdf
[2011.02.18 14:01:30 | 000,021,076 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Preisliste-fotoleinwand-leinwandfoto.pdf
[2011.02.18 13:06:35 | 000,085,053 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\higru-alle-FOTOLEINWAND-.jpg
[2011.02.18 13:04:19 | 000,122,806 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\higru-home-FOTOLEINWAND.jpg
[2011.02.17 14:59:48 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2011.02.17 14:56:20 | 000,002,243 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2010.09.19 10:15:37 | 000,097,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2010.07.22 07:59:10 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2010.07.22 07:56:57 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2010.07.22 07:56:57 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2010.06.26 11:06:02 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010.06.12 15:01:33 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2010.06.09 14:59:18 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.06.09 14:59:17 | 000,059,392 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.06.08 17:03:15 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.05.28 09:21:41 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2010.05.28 09:19:36 | 000,092,983 | ---- | C] () -- C:\WINDOWS\VGAsetup.ini
[2010.05.28 09:19:17 | 000,208,896 | ---- | C] () -- C:\WINDOWS\Progress.exe
[2010.05.28 09:19:17 | 000,049,152 | ---- | C] () -- C:\WINDOWS\InstFunc.exe
[2010.05.28 09:18:58 | 000,128,451 | ---- | C] () -- C:\WINDOWS\System32\VGAunistlog.ini
[2010.05.28 09:15:41 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.05.28 09:14:24 | 002,169,976 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.05.28 08:48:09 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.05.28 08:29:55 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.05.28 08:20:18 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007.04.09 00:11:00 | 000,000,110 | ---- | C] () -- C:\WINDOWS\System32\E_ADDNET.DAT
[2006.06.01 20:06:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006.06.01 20:06:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006.06.01 20:06:00 | 000,405,692 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006.06.01 20:06:00 | 000,392,630 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006.06.01 20:06:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006.06.01 20:06:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006.06.01 20:06:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006.06.01 20:06:00 | 000,070,976 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006.06.01 20:06:00 | 000,058,930 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006.06.01 20:06:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006.06.01 20:06:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006.06.01 20:06:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006.06.01 20:06:00 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2006.06.01 20:06:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.06.01 20:06:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006.06.01 20:06:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2006.06.01 20:06:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2006.01.19 09:34:04 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\sis660.bin
[2005.10.07 14:13:36 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\sis760.bin
[2005.10.07 14:13:36 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\sis741.bin
 
========== LOP Check ==========
 
[2011.02.27 12:21:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BlueShot
[2010.06.12 15:01:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CheckPoint
[2010.06.13 14:18:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\jp.clockmaker.IconGeneratorPro
[2010.06.26 11:21:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pdfforge
[2010.06.08 17:28:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Recorder
[2010.06.26 11:21:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Search Settings
[2010.06.04 07:41:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Serif
[2010.06.25 14:30:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
[2010.05.28 08:34:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
[2010.12.10 09:08:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon
[2010.08.20 14:58:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2010.07.22 07:56:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2011.02.19 13:13:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2011.02.18 17:16:03 | 000,000,408 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 448 bytes -> C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\myarto.wpp:SummaryInformation
 
< End of report >

--- --- ---

Jetzt noch das antivir log- hatte ich vorher vergessen.

urchsuche Prozess 'cnwisam.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'eEBSVC.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '411' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035629.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.BZW
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036224.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036225.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036226.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Suche in 'D:\'
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035625.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/13741.A (Dialer)
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035626.exe
[FUND] Ist das Trojanische Pferd TR/Spy.79360.15
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035627.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035628.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L

[0] Archivtyp: AutoIt
--> =PROJECT=\next\ACDSee 8\patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L

Beginne mit der Desinfektion:
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035628.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f1c4c4e.qua' verschoben!
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035627.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '578b63e9.qua' verschoben!
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035626.exe
[FUND] Ist das Trojanische Pferd TR/Spy.79360.15
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05d43901.qua' verschoben!
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035625.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/13741.A (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '63e376c3.qua' verschoben!
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036226.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26675bfd.qua' verschoben!
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036225.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '597c699c.qua' verschoben!
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036224.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '15c445d6.qua' verschoben!
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035629.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.BZW
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '69dc0586.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 10. März 2011 16:05
Benötigte Zeit: 1:38:04 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12460 Verzeichnisse wurden überprüft
998098 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
998090 Dateien ohne Befall
5664 Archive wurden durchsucht
0 Warnungen
8 Hinweise
348801 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Hatte den Antivir-Log vergessen:

urchsuche Prozess 'cnwisam.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'eEBSVC.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '411' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035629.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.BZW
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036224.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036225.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036226.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Suche in 'D:\'
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035625.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/13741.A (Dialer)
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035626.exe
[FUND] Ist das Trojanische Pferd TR/Spy.79360.15
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035627.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035628.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L

[0] Archivtyp: AutoIt
--> =PROJECT=\next\ACDSee 8\patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L

Beginne mit der Desinfektion:
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035628.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f1c4c4e.qua' verschoben!
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035627.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '578b63e9.qua' verschoben!
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035626.exe
[FUND] Ist das Trojanische Pferd TR/Spy.79360.15
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05d43901.qua' verschoben!
D:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035625.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/13741.A (Dialer)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '63e376c3.qua' verschoben!
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036226.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26675bfd.qua' verschoben!
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036225.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '597c699c.qua' verschoben!
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP168\A0036224.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '15c445d6.qua' verschoben!
C:\System Volume Information\_restore{F4D0E47C-F58C-4CFE-AB29-32B462FA0118}\RP166\A0035629.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.BZW
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '69dc0586.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 10. März 2011 16:05
Benötigte Zeit: 1:38:04 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12460 Verzeichnisse wurden überprüft
998098 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
998090 Dateien ohne Befall
5664 Archive wurden durchsucht
0 Warnungen
8 Hinweise
348801 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

cosinus · 15.03.2011, 16:42

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

sanchopancho · 15.03.2011, 19:37

Hi Arne,

danke für die Antwort- ist echt eine tolle Sache das Board. Bisher hab ich bei Virenbefall immer direkt eine Neuinstallation gemacht. Aber nu sind ein paar Webseiten Backups drauf,von denen ich nicht sicher bin, ob ich die wieder ans laufen kriege.

Den pupsdealio von der Pdfforgebar bin ich scheinbar los, nachdem ich es mit CCleaner deinstalliert habe.

Auch Trashgen wird von Antivir nicht mehr gefunden.

Das einzig seltsame ist noch, dass nach wie vor pate&copy sowie drag&drop nicht funktioniert und ich den Netzwerddldienst noch immer nicht starten kann.

Womöglich ist das doch nur ein Systemproblem... aber ich kann nirgendwo was dazu finden, das mir weiter hilft.

vielen Dank auf jeden Fall, dass Du Dir Zeit nimmst!

viele Grüße,

Claus

Anbei 2 vollständige Malwarebytescans:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5989

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.03.2011 17:16:01
mbam-log-2011-03-14 (17-16-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 342610
Laufzeit: 1 Stunde(n), 2 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\PDFFORGE TOOLBAR\FF\COMPONENTS\PDFFORGETOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: PDFFORGETOOLBARFF.DLL -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\PDFFORGE TOOLBAR\SSFF\COMPONENTS\SEARCHSETTINGSFF.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSFF.DLL -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\pdfforge toolbar\searchsettingsres409.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\FF\components\pdfforgetoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\SSFF\components\searchsettingsff.dll (PUP.Dealio) -> Quarantined and deleted successfully.
d:\system volume information\_restore{f4d0e47c-f58c-4cfe-ab29-32b462fa0118}\RP169\A0036327.exe (Malware.Tool) -> Quarantined and deleted successfully.
d:\system volume information\_restore{f4d0e47c-f58c-4cfe-ab29-32b462fa0118}\RP169\A0036406.exe (Malware.Tool) -> Quarantined and deleted successfully.
d:\system volume information\_restore{f4d0e47c-f58c-4cfe-ab29-32b462fa0118}\RP169\A0040311.exe (Malware.Tool) -> Quarantined and deleted successfully.

Und Nr. 2

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6054

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.03.2011 17:40:17
mbam-log-2011-03-14 (17-40-17).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 151172
Laufzeit: 2 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Antivir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 14. März 2011 17:41

Es wird nach 2490504 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HOME-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 16.12.2010 08:11:03
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 16.12.2010 08:11:04
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 08:10:55
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 07:27:32
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 07:27:32
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 07:27:32
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 07:27:32
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 07:27:32
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 07:27:32
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 07:27:32
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 07:27:32
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 07:27:32
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 07:27:33
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 07:27:33
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 07:27:33
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 07:27:33
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 15:48:30
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 17:40:43
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 17:40:45
VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 12:38:44
VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 08:06:26
VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 19:25:23
VBASE021.VDF : 7.11.4.108 122880 Bytes 08.03.2011 12:32:12
VBASE022.VDF : 7.11.4.150 133120 Bytes 10.03.2011 21:03:09
VBASE023.VDF : 7.11.4.183 122368 Bytes 14.03.2011 13:58:02
VBASE024.VDF : 7.11.4.184 2048 Bytes 14.03.2011 13:58:03
VBASE025.VDF : 7.11.4.185 2048 Bytes 14.03.2011 13:58:03
VBASE026.VDF : 7.11.4.186 2048 Bytes 14.03.2011 13:58:03
VBASE027.VDF : 7.11.4.187 2048 Bytes 14.03.2011 13:58:03
VBASE028.VDF : 7.11.4.188 2048 Bytes 14.03.2011 13:58:03
VBASE029.VDF : 7.11.4.189 2048 Bytes 14.03.2011 13:58:03
VBASE030.VDF : 7.11.4.190 2048 Bytes 14.03.2011 13:58:04
VBASE031.VDF : 7.11.4.195 19456 Bytes 14.03.2011 13:58:04
Engineversion : 8.2.4.186
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 09:45:28
AESCRIPT.DLL : 8.1.3.56 1261945 Bytes 08.03.2011 12:32:16
AESCN.DLL : 8.1.7.2 127349 Bytes 27.11.2010 11:19:16
AESBX.DLL : 8.1.3.2 254324 Bytes 27.11.2010 11:19:17
AERDL.DLL : 8.1.9.8 639346 Bytes 14.03.2011 13:58:39
AEPACK.DLL : 8.2.4.12 520567 Bytes 14.03.2011 13:58:34
AEOFFICE.DLL : 8.1.1.17 205177 Bytes 08.03.2011 12:32:16
AEHEUR.DLL : 8.1.2.86 3350903 Bytes 14.03.2011 13:58:32
AEHELP.DLL : 8.1.16.1 246134 Bytes 17.02.2011 07:27:35
AEGEN.DLL : 8.1.5.2 397683 Bytes 29.01.2011 12:28:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 27.11.2010 11:19:15
AECORE.DLL : 8.1.19.2 196983 Bytes 29.01.2011 12:28:30
AEBB.DLL : 8.1.1.0 53618 Bytes 12.06.2010 13:53:34
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 08.11.2010 16:50:39
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 16.12.2010 08:11:03
AVARKT.DLL : 10.0.22.6 231784 Bytes 16.12.2010 08:11:02
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 08.11.2010 16:50:38

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 14. März 2011 17:41

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\explorer.exe
c:\windows\explorer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\explorer.exe

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'vssvc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLANMini.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'TouchPad_HotKey.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'cnwisam.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'eEBSVC.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '413' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'

Ende des Suchlaufs: Montag, 14. März 2011 18:49
Benötigte Zeit: 1:08:09 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12022 Verzeichnisse wurden überprüft
639844 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
639844 Dateien ohne Befall
4603 Archive wurden durchsucht
0 Warnungen
0 Hinweise
358129 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

cosinus · 15.03.2011, 21:21

Sind das alle Logs von Malwarebytes? Wenn ja fehlt ein Vollscan mit den aktuellsten Signaturen.

sanchopancho · 16.03.2011, 17:40

und da isser wieder...

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6077

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.03.2011 17:34:37
mbam-log-2011-03-16 (17-34-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 336887
Laufzeit: 58 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{f4d0e47c-f58c-4cfe-ab29-32b462fa0118}\RP174\A0040826.rbf (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f4d0e47c-f58c-4cfe-ab29-32b462fa0118}\RP174\A0040828.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f4d0e47c-f58c-4cfe-ab29-32b462fa0118}\RP174\A0040829.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f4d0e47c-f58c-4cfe-ab29-32b462fa0118}\RP174\A0040832.rbf (PUP.Dealio) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\cmdow.exe (PUP.Tool) -> Quarantined and deleted successfully.

cosinus · 16.03.2011, 19:18

Bitte deinstallier ZoneAlarm falls noch nicht geschehen, denn das Teil ist der letzte Unsinn! Mit der Windows-Firewall ist man besser beraten.

nach der Deinstallation von ZoneAlarm musst du Windows wohl neu starten. Beende alle noch etwaigen gestarteten Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
@Alternate Data Stream - 448 bytes -> C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\myarto.wpp:SummaryInformation
O4 - HKLM..\Run: [] File not found
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

sanchopancho · 17.03.2011, 18:56

Eledigt

All processes killed
========== OTL ==========
ADS C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\myarto.wpp:SummaryInformation deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 6978069 bytes
->Temporary Internet Files folder emptied: 1783498 bytes
->FireFox cache emptied: 88781463 bytes
->Flash cache emptied: 1370 bytes

User: Administrator.HOME-PC
->Temp folder emptied: 875008 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: All Users.WINDOWS.0

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User.WINDOWS.0
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 1151203 bytes

Total Files Cleaned = 95,00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 03172011_184813

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C07JPU4F\google_de[1].htm moved successfully.

Registry entries deleted on Reboot...

cosinus · 17.03.2011, 20:07

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

sanchopancho · 17.03.2011, 21:54

Anbei Combo log CC-Reinigung durchgeführt.

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-03-16.06 - Administrator 17.03.2011  20:20:39.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1789.1226 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-17 bis 2011-03-17  ))))))))))))))))))))))))))))))
.
.
2011-03-17 17:48 . 2011-03-17 17:48	--------	d-----w-	C:\_OTL
2011-03-17 17:36 . 2011-03-17 17:36	--------	d-----w-	c:\windows\Internet Logs
2011-03-14 20:20 . 2011-03-16 14:36	--------	d-----w-	C:\WINDOWS.0
2011-03-14 19:52 . 2011-03-14 19:58	--------	d-----w-	c:\dokumente und einstellungen\Administrator.HOME-PC
2011-03-14 19:52 . 2011-03-14 19:52	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT
2011-03-14 19:52 . 2011-03-14 19:52	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT
2011-03-14 19:40 . 2006-06-01 19:06	16384	----a-w-	c:\programme\Internet Explorer\Connection Wizard\isignup.exe
2011-03-14 19:30 . 2011-03-14 19:56	--------	d--h--w-	c:\dokumente und einstellungen\Default User.WINDOWS.0
2011-03-14 19:30 . 2011-03-14 19:56	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS.0
2011-03-14 15:51 . 2011-03-14 15:51	--------	d-----w-	c:\programme\CCleaner
2011-03-12 10:08 . 2011-03-12 10:08	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\PrivacIE
2011-03-10 22:49 . 2011-03-10 22:49	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2011-03-10 22:39 . 2011-03-10 22:39	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2011-03-10 15:23 . 2011-03-10 15:24	--------	dc-h--w-	c:\windows\ie8
2011-03-08 15:52 . 2011-03-08 15:52	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2011-03-08 15:52 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-08 15:52 . 2011-03-08 15:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-08 15:52 . 2011-03-16 16:34	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-03-08 15:52 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-08 15:24 . 2011-03-17 17:38	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ConduitEngine
2011-03-08 15:24 . 2011-03-08 15:24	--------	d-----w-	c:\programme\ConduitEngine
2011-02-27 11:21 . 2011-02-27 11:21	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BlueShot
2011-02-27 11:21 . 2011-02-27 11:21	--------	d-----w-	c:\programme\BlueShot
2011-02-17 13:59 . 2011-03-17 17:33	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2011-02-17 13:56 . 2011-02-17 13:56	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2011-02-17 13:56 . 2011-03-08 15:35	--------	d-----r-	c:\programme\Skype
2011-02-17 13:56 . 2011-03-17 19:21	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2011-02-17 13:56 . 2011-02-17 13:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-17 17:41 . 2010-06-12 13:52	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
.
.
------- Sigcheck -------
.
[7] 2009-03-08 . B60DDDD2D63CE41CB8C487FCFBB6419E . 638816 . . [8.00.6001.18702] . . c:\windows\ERDNT\cache\iexplore.exe
[7] 2009-03-08 . B60DDDD2D63CE41CB8C487FCFBB6419E . 638816 . . [8.00.6001.18702] . . c:\windows\system32\dllcache\iexplore.exe
[7] 2008-04-14 . 3BFE49B4CDFAC83B0F3C79412895A179 . 93184 . . [6.00.2900.5512] . . c:\windows\ie8\iexplore.exe
[7] 2008-04-14 . 3BFE49B4CDFAC83B0F3C79412895A179 . 93184 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\iexplore.exe
[-] 2006-06-01 . B39A6AF04A431E317C85BF061719E705 . 93184 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\iexplore.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54	175912	----a-w-	c:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-01-26 15026056]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"SiSPower"="SiSPower.dll" [2007-08-03 53248]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-10 16384000]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-05-10 864256]
"TouchPadHotKey"="c:\programme\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe" [2007-08-13 364544]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-08 281768]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Utility Tray.lnk - c:\windows\system32\sistray.exe [2010-5-28 262144]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"eMuleAutoStart"=c:\programme\eMule\emule.exe -AutoStart
"Vidalia"="c:\programme\Vidalia Bundle\Vidalia\vidalia.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=c:\programme\Winamp\winampa.exe
"Acrobat Assistant 8.0"="d:\adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
"Adobe_ID0ENQBO"=c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"CnwiDeviceAgent"=c:\programme\Canon\imagePROGRAFStatusMonitor\cnwida.exe
"Adobe Acrobat Speed Launcher"="d:\adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS4\\Server\\bin\\VersionCueCS4.exe"=
"c:\\Programme\\Canon\\imagePROGRAFStatusMonitor\\cnwism.exe"=
"c:\\Programme\\Canon\\imagePROGRAFStatusMonitor\\cnwida.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"3703:TCP"= 3703:TCP:Adobe Version Cue CS4 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS4 Server
"51000:TCP"= 51000:TCP:Adobe Version Cue CS4 Server
"51001:TCP"= 51001:TCP:Adobe Version Cue CS4 Server
.
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [19.09.2010 10:15 265088]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [19.09.2010 10:16 4352]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
nosGetPlusHelper	REG_MULTI_SZ   	nosGetPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2011-02-18 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 01:29]
.
2011-03-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-02-06 11:48]
.
2011-03-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-02-06 11:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {09E0CA9A-A7EC-4E67-8D8C-D73D6B90B92A} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\qm12nxk0.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Google Gears: {000a9d1c-beef-4f90-9363-039d445309b8} - c:\programme\Google\Google Gears\Firefox
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-17 20:24
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1123561945-1614895754-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,19,7d,bb,d5,ff,d9,40,49,a9,3c,5e,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,19,7d,bb,d5,ff,d9,40,49,a9,3c,5e,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{586A635p	****************************\InprocServer32]
@="c:\\WINDOWS\\system32\\MSCOMCT2.OCX"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(920)
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
- - - - - - - > 'explorer.exe'(3952)
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchTrayHook.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL
c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-03-17  20:26:10
ComboFix-quarantined-files.txt  2011-03-17 19:26
ComboFix2.txt  2011-03-14 16:28
.
Vor Suchlauf: 7 Verzeichnis(se), 12.425.089.024 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 12.414.394.368 Bytes frei
.
- - End Of File - - 135F4BD0C742CD65D37BD7413E396100

--- --- ---

cosinus · 17.03.2011, 22:05

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Seccenter::
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

Folder::
c:\windows\Internet Logs
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ConduitEngine
c:\programme\ConduitEngine

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

sanchopancho · 17.03.2011, 22:23

...tja, hier kommt wohl das erwähnte Problem ins spiel, das drag&drop bei mir nicht mehr funktioniert

cosinus · 18.03.2011, 11:45

Dann mach es so:

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

Folders to delete:
c:\windows\Internet Logs
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ConduitEngine
c:\programme\ConduitEngine

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

sanchopancho · 18.03.2011, 15:44

erledigt

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\windows\Internet Logs" deleted successfully.
Folder "c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ConduitEngine" deleted successfully.
Folder "c:\programme\ConduitEngine" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

cosinus · 18.03.2011, 19:29

Bitte führe mal dieses Tool von Kaspersky aus => http://www.trojaner-board.de/82358-t...entfernen.html

sanchopancho · 18.03.2011, 19:34

Erledigt- nix gefunden.

2011/03/18 19:28:35.0875 1240 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/18 19:28:36.0218 1240 ================================================================================
2011/03/18 19:28:36.0218 1240 SystemInfo:
2011/03/18 19:28:36.0218 1240
2011/03/18 19:28:36.0218 1240 OS Version: 5.1.2600 ServicePack: 3.0
2011/03/18 19:28:36.0218 1240 Product type: Workstation
2011/03/18 19:28:36.0218 1240 ComputerName: HOME-PC
2011/03/18 19:28:36.0218 1240 UserName: Administrator
2011/03/18 19:28:36.0218 1240 Windows directory: C:\WINDOWS
2011/03/18 19:28:36.0218 1240 System windows directory: C:\WINDOWS
2011/03/18 19:28:36.0218 1240 Processor architecture: Intel x86
2011/03/18 19:28:36.0218 1240 Number of processors: 2
2011/03/18 19:28:36.0218 1240 Page size: 0x1000
2011/03/18 19:28:36.0234 1240 Boot type: Normal boot
2011/03/18 19:28:36.0234 1240 ================================================================================
2011/03/18 19:28:36.0484 1240 Initialize success
2011/03/18 19:28:38.0671 3732 ================================================================================
2011/03/18 19:28:38.0671 3732 Scan started
2011/03/18 19:28:38.0671 3732 Mode: Manual;
2011/03/18 19:28:38.0671 3732 ================================================================================
2011/03/18 19:28:39.0796 3732 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/03/18 19:28:39.0828 3732 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/03/18 19:28:39.0875 3732 adfs (6d7f09cd92a9fef3a8efce66231fdd79) C:\WINDOWS\system32\drivers\adfs.sys
2011/03/18 19:28:39.0937 3732 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/03/18 19:28:39.0984 3732 AFD (322d0e36693d6e24a2398bee62a268cd) C:\WINDOWS\System32\drivers\afd.sys
2011/03/18 19:28:40.0250 3732 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/03/18 19:28:40.0265 3732 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/03/18 19:28:40.0343 3732 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/03/18 19:28:40.0390 3732 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/03/18 19:28:40.0468 3732 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/03/18 19:28:40.0484 3732 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/03/18 19:28:40.0531 3732 avipbb (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/03/18 19:28:40.0562 3732 avmeject (263cf9d248fd5e020a1333ed4f7eaa88) C:\WINDOWS\system32\drivers\avmeject.sys
2011/03/18 19:28:40.0593 3732 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/03/18 19:28:40.0734 3732 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/03/18 19:28:40.0796 3732 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/03/18 19:28:40.0843 3732 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/03/18 19:28:40.0890 3732 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/03/18 19:28:40.0937 3732 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/03/18 19:28:40.0984 3732 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/03/18 19:28:41.0140 3732 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/03/18 19:28:41.0250 3732 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/03/18 19:28:41.0312 3732 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/03/18 19:28:41.0359 3732 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/03/18 19:28:41.0609 3732 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/03/18 19:28:41.0828 3732 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/03/18 19:28:41.0906 3732 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/03/18 19:28:41.0937 3732 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/03/18 19:28:41.0968 3732 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/03/18 19:28:42.0015 3732 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/03/18 19:28:42.0062 3732 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/03/18 19:28:42.0078 3732 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/03/18 19:28:42.0109 3732 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/03/18 19:28:42.0171 3732 FWLANUSB (ff12fa487265da2ac7de4be53f72ff1a) C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
2011/03/18 19:28:42.0218 3732 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/03/18 19:28:42.0265 3732 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/03/18 19:28:42.0312 3732 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/03/18 19:28:42.0375 3732 HTTP (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/03/18 19:28:42.0453 3732 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/03/18 19:28:42.0468 3732 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/03/18 19:28:42.0671 3732 IntcAzAudAddService (8f924588c272fdaa28cf31a9bbc21a72) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/03/18 19:28:42.0750 3732 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/03/18 19:28:42.0796 3732 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/03/18 19:28:42.0828 3732 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/03/18 19:28:42.0859 3732 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/03/18 19:28:42.0890 3732 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/03/18 19:28:42.0921 3732 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/03/18 19:28:42.0953 3732 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/03/18 19:28:43.0000 3732 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/03/18 19:28:43.0031 3732 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/03/18 19:28:43.0062 3732 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/03/18 19:28:43.0078 3732 KSecDD (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/03/18 19:28:43.0187 3732 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/03/18 19:28:43.0218 3732 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/03/18 19:28:43.0234 3732 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/03/18 19:28:43.0281 3732 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/03/18 19:28:43.0296 3732 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/03/18 19:28:43.0359 3732 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/03/18 19:28:43.0390 3732 MRxSmb (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/03/18 19:28:43.0421 3732 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/03/18 19:28:43.0468 3732 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/03/18 19:28:43.0515 3732 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/03/18 19:28:43.0546 3732 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/03/18 19:28:43.0593 3732 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/03/18 19:28:43.0609 3732 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/03/18 19:28:43.0656 3732 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/03/18 19:28:43.0718 3732 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/03/18 19:28:43.0734 3732 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/03/18 19:28:43.0765 3732 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/03/18 19:28:43.0781 3732 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/03/18 19:28:43.0812 3732 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/03/18 19:28:43.0859 3732 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/03/18 19:28:43.0937 3732 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/03/18 19:28:43.0984 3732 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/03/18 19:28:44.0031 3732 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/03/18 19:28:44.0062 3732 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/03/18 19:28:44.0078 3732 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/03/18 19:28:44.0171 3732 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
2011/03/18 19:28:44.0187 3732 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/03/18 19:28:44.0218 3732 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/03/18 19:28:44.0234 3732 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/03/18 19:28:44.0296 3732 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/03/18 19:28:44.0375 3732 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/03/18 19:28:44.0593 3732 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/03/18 19:28:44.0625 3732 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/03/18 19:28:44.0656 3732 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/03/18 19:28:44.0687 3732 PxHelp20 (d970470f8f39470bdae94d313a1ccdce) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/03/18 19:28:44.0828 3732 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/03/18 19:28:44.0859 3732 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/03/18 19:28:44.0890 3732 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/03/18 19:28:44.0906 3732 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/03/18 19:28:44.0953 3732 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/03/18 19:28:44.0984 3732 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/03/18 19:28:45.0015 3732 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/03/18 19:28:45.0078 3732 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/03/18 19:28:45.0125 3732 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/03/18 19:28:45.0234 3732 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/03/18 19:28:45.0281 3732 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
2011/03/18 19:28:45.0312 3732 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/03/18 19:28:45.0406 3732 SiS315 (69611b2ffa1c48b7dfe86c8c12500ddb) C:\WINDOWS\system32\DRIVERS\sisgrp.sys
2011/03/18 19:28:45.0437 3732 SISAGP (f8150c74ff24bdbd19f47a6dfd05514a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2011/03/18 19:28:45.0468 3732 SiSGbeXP (ded793c377fa132912b4381043a4d554) C:\WINDOWS\system32\DRIVERS\SiSGbeXP.sys
2011/03/18 19:28:45.0500 3732 siside (b4485881bd8aed9b157a2e6cf43c2d51) C:\WINDOWS\system32\DRIVERS\siside.sys
2011/03/18 19:28:45.0531 3732 SiSkp (b701c7f3c816e9d72f733e792df6bf0a) C:\WINDOWS\system32\DRIVERS\srvkp.sys
2011/03/18 19:28:45.0578 3732 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/03/18 19:28:45.0625 3732 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/03/18 19:28:45.0656 3732 Srv (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/03/18 19:28:45.0718 3732 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/03/18 19:28:45.0750 3732 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/03/18 19:28:45.0796 3732 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/03/18 19:28:45.0937 3732 SynTP (76d8be42d50455c7c8446b8ff1bfb9e0) C:\WINDOWS\system32\DRIVERS\SynTP.sys
2011/03/18 19:28:45.0984 3732 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/03/18 19:28:46.0031 3732 Tcpip (93ea8d04ec73a85db02eb8805988f733) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/03/18 19:28:46.0078 3732 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/03/18 19:28:46.0109 3732 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/03/18 19:28:46.0140 3732 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/03/18 19:28:46.0250 3732 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/03/18 19:28:46.0328 3732 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/03/18 19:28:46.0390 3732 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/03/18 19:28:46.0437 3732 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/03/18 19:28:46.0484 3732 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/03/18 19:28:46.0531 3732 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/03/18 19:28:46.0546 3732 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/03/18 19:28:46.0578 3732 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/03/18 19:28:46.0640 3732 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/03/18 19:28:46.0687 3732 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/03/18 19:28:46.0734 3732 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/03/18 19:28:46.0859 3732 WudfPf (443f0a35cb3be5d176053da39157a898) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/03/18 19:28:46.0890 3732 WudfRd (e12d4c486d7eb4e0961c27558dc25af7) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/03/18 19:28:47.0093 3732 ================================================================================
2011/03/18 19:28:47.0093 3732 Scan finished
2011/03/18 19:28:47.0093 3732 ================================================================================

15.03.2011, 21:21	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Trash.Gen Sind das alle Logs von Malwarebytes? Wenn ja fehlt ein Vollscan mit den aktuellsten Signaturen. __________________ Logfiles bitte immer in CODE-Tags posten

18.03.2011, 19:29	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Trash.Gen Bitte führe mal dieses Tool von Kaspersky aus => http://www.trojaner-board.de/82358-t...entfernen.html __________________ Logfiles bitte immer in CODE-Tags posten

TR/Trash.Gen

Plagegeister aller Art und deren Bekämpfung: TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

TR/Trash.Gen

Ähnliche Themen: TR/Trash.Gen

17.03.2011, 22:23	#11
sanchopancho	TR/Trash.Gen ...tja, hier kommt wohl das erwähnte Problem ins spiel, das drag&drop bei mir nicht mehr funktioniert