Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "PUM.Disabled.SecurityCenter" Registry infiziert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 31.05.2011, 22:25   #1
Crackspread
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Hallo Trojaner - Board!
Gestern habe ich meinen Rechner einem vollen Scan mit Malwarebytes unterzogen und drei Funde mit dem obigen Titel erhalten. Habe dann ein bisschen im Internet geforscht und die Funde erstmal in Quarantäne verfrachtet. Nach Update von Malwarebytes habe ich erneut gescannt und er hat einen Fund ausgewiesen.

Hier die Logfiles:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6718

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.05.2011 00:17:38
mbam-log-2011-05-31 (00-17-37).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 296802
Time elapsed: 4 hour(s), 24 minute(s), 11 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 3
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

____________________________
Und von Scan Nummer 2 nach Update Malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6729

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.05.2011 18:29:39
mbam-log-2011-05-31 (18-28-58).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 297017
Time elapsed: 4 hour(s), 23 minute(s), 7 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
___________________________

Ich habe mich via Google in verschiedenen Foren informiert und habe einerseits Einträge gefunden, die Funde mit ähnlicher Bezeichnung als harmlose Registry-Einträge erkannt haben, andere waren aber tatsächlich bösartig.
Da ich in den letzten Wochen häufig Performance - Probleme mit dem Rechner hatte, hoffe ich, dass ihr mir mit eurer Expertise weiterhelfen könnt. Beim Öffnen nahezu aller Programme und auch beim Internetzugang hat der Rechner sich jedesmal fast überschlagen und der Vorgang hat teilweise minutenlang gedauert. Ich habe in einem Forum gelesen, dass "Windows Update" diese Probleme verursachen kann und da gleich mal auf manuelle Updates umgestellt. Besser geworden: ja. So schnell wie gewohnt: nein.

Ich habe früher die Firewall von Zonealarm benutzt, dann aber auf Comodo gewechselt (Empfehlung könnte ich hier gelesen haben, bin nicht mehr sicher). Mit Zonealarm hatte ich seinerzeit auch häufig mit Performanceproblemen zu kämpfen, wurde mit Comodo besser!

Bitte schaut euch mal meine Logfiles an und sagt mir eure Meinung zu den Funden. Für Tipps was die Rechnerleistung angeht (vielleicht habe ich ja zuviel "Ballast" an Bord) bin ich sehr dankbar!

Den defogger habe ich mir runtergeladen und den Scan durchgeführt, aber eine Aufforderung zum Neustart kam nicht und den Logfile konnte ich auch nicht finden. Habe trotzdem neugestartet, weil er zumindest Scan "finished". gemeldet hat.

Aber OTL hat geklappt:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 31.05.2011 19:38:23 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Der kleine Wolf\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
247,00 Mb Total Physical Memory | 124,00 Mb Available Physical Memory | 50,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): C:\pagefile.sys 1000 1000 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,56 Gb Total Space | 24,28 Gb Free Space | 32,56% Space Free | Partition Type: NTFS
 
Computer Name: BARTEK | User Name: Der kleine Wolf | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.05.31 19:22:40 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Der kleine Wolf\Eigene Dateien\Downloads\OTL.exe
PRC - [2011.05.31 18:36:52 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\Eigene Dateien\Downloads\Defogger(1).exe
PRC - [2011.05.04 21:35:04 | 001,779,280 | ---- | M] (COMODO) -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
PRC - [2011.04.27 19:58:45 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.03.19 16:45:24 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.11.06 15:23:29 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.06.17 22:56:44 | 000,370,176 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.09.14 03:50:00 | 001,603,152 | ---- | M] (CANON INC.) -- C:\Programme\Canon\MyPrinter\BJMYPRT.EXE
PRC - [2006.02.23 01:04:00 | 001,499,136 | R--- | M] (AVM GmbH Berlin) -- C:\Programme\avmwlanstick\WLanGUI.exe
PRC - [2006.02.23 01:04:00 | 000,346,412 | R--- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanNetService.exe
PRC - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.05.31 19:22:40 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Der kleine Wolf\Eigene Dateien\Downloads\OTL.exe
MOD - [2011.05.04 21:36:25 | 000,284,744 | ---- | M] (COMODO) -- C:\WINDOWS\system32\guard32.dll
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2011.05.04 21:35:04 | 001,779,280 | ---- | M] (COMODO) [Auto | Running] -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent)
SRV - [2011.04.27 19:58:45 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.03.19 16:45:24 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.03.29 08:53:22 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2007.03.26 13:06:24 | 000,292,864 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2006.02.23 01:04:00 | 000,346,412 | R--- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.05.04 21:36:24 | 000,096,608 | ---- | M] (COMODO) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\inspect.sys -- (Inspect)
DRV - [2011.05.04 21:36:24 | 000,029,400 | ---- | M] (COMODO) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\cmdhlp.sys -- (cmdHlp)
DRV - [2011.05.04 21:36:23 | 000,242,472 | ---- | M] (COMODO) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\cmdGuard.sys -- (cmdGuard)
DRV - [2011.03.19 16:45:25 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.25 20:25:08 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 20:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2006.02.23 01:04:00 | 000,264,704 | R--- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2006.01.18 19:41:58 | 000,080,512 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2006.01.13 14:39:00 | 003,844,288 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004.08.03 23:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com/fsc/
IE - HKCU\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaultthis.engineName: "ZoneAlarm-Sicherheit Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "ZoneAlarm-Sicherheit Customized Web Search"
FF - prefs.js..extensions.enabledItems: {37E4D8EA-8BDA-4831-8EA1-89053939A250}:3.0.0.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}:2.7.1.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties"
 
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.05.13 05:06:48 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.13 05:06:48 | 000,000,000 | ---D | M]
 
[2008.09.12 03:52:49 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Mozilla\Extensions
[2011.05.13 05:40:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Mozilla\Firefox\Profiles\cg13hfl0.default\extensions
[2010.05.02 11:27:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Mozilla\Firefox\Profiles\cg13hfl0.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.03.24 04:46:50 | 000,000,000 | ---D | M] (PDF Download) -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Mozilla\Firefox\Profiles\cg13hfl0.default\extensions\{37E4D8EA-8BDA-4831-8EA1-89053939A250}
[2011.05.13 05:40:38 | 000,000,000 | ---D | M] (ZoneAlarm-Sicherheit Community Toolbar) -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Mozilla\Firefox\Profiles\cg13hfl0.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}
[2011.05.13 05:40:36 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Mozilla\Firefox\Profiles\cg13hfl0.default\extensions\engine@conduit.com
[2010.06.15 00:31:50 | 000,000,943 | ---- | M] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Mozilla\Firefox\Profiles\cg13hfl0.default\searchplugins\conduit.xml
[2011.05.10 20:30:46 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.09.28 19:18:33 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.05.31 01:23:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.10.19 16:46:28 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.16 18:07:33 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011.03.15 23:19:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
File not found (No name found) -- 
[2010.05.31 01:22:14 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.05.13 05:06:16 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll
[2011.02.02 22:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2011.05.13 05:06:34 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml
 
O1 HOSTS File: ([2009.01.08 22:46:39 | 000,290,894 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1    www.007guard.com
O1 - Hosts: 127.0.0.1    007guard.com
O1 - Hosts: 127.0.0.1    008i.com
O1 - Hosts: 127.0.0.1    www.008k.com
O1 - Hosts: 127.0.0.1    008k.com
O1 - Hosts: 127.0.0.1    www.00hq.com
O1 - Hosts: 127.0.0.1    00hq.com
O1 - Hosts: 127.0.0.1    010402.com
O1 - Hosts: 127.0.0.1    www.032439.com
O1 - Hosts: 127.0.0.1    032439.com
O1 - Hosts: 127.0.0.1    www.0scan.com
O1 - Hosts: 127.0.0.1    0scan.com
O1 - Hosts: 127.0.0.1    www.100888290cs.com
O1 - Hosts: 127.0.0.1    100888290cs.com
O1 - Hosts: 127.0.0.1    www.100sexlinks.com
O1 - Hosts: 127.0.0.1    100sexlinks.com
O1 - Hosts: 127.0.0.1    www.10sek.com
O1 - Hosts: 127.0.0.1    10sek.com
O1 - Hosts: 127.0.0.1    www.123topsearch.com
O1 - Hosts: 127.0.0.1    123topsearch.com
O1 - Hosts: 127.0.0.1    www.132.com
O1 - Hosts: 127.0.0.1    132.com
O1 - Hosts: 127.0.0.1    www.136136.net
O1 - Hosts: 127.0.0.1    136136.net
O1 - Hosts: 10016 more lines...
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM GmbH Berlin)
O4 - HKLM..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4 - HKLM..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.)
O4 - HKLM..\Run: [COMODO Internet Security] C:\Programme\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [SunJavaUpdateSched] File not found
O4 - HKLM..\RunOnceEx: [] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk = C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_24.dll (Sun Microsystems, Inc.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\WINDOWS\system32\guard32.dll) - C:\WINDOWS\system32\guard32.dll (COMODO)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.03.13 17:29:53 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\Shell - "" = AutoRun
O33 - MountPoints2\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\Shell\AutoRun\command - "" = E:\pushinst.exe
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {233C1507-6A77-46A4-9443-F871F945D258} - Adobe Shockwave Director 10.2
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A202491-F00D-11cf-87CC-0020AFEECF20} - Adobe Shockwave Director 10.2
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447)
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {8b15971b-5355-4c82-8c07-7e181ea07608} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.Install.PerUser
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {94de52c8-2d59-4f1b-883e-79663d2d9a8c} - Fax Provider
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: Microsoft Base Smart Card Crypto Provider Package - 
 
NetSvcs: 6to4 - File not found
NetSvcs: AppMgmt - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (17746534284132352)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.05.30 23:39:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Der kleine Wolf\Eigene Dateien\Malware Logs
[2011.05.04 20:44:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WISO Steuer-Sparbuch 2011
[73 C:\Dokumente und Einstellungen\Der kleine Wolf\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Der kleine Wolf\Eigene Dateien\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.05.31 19:25:47 | 000,000,690 | ---- | M] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\Desktop\Verknüpfung mit OTL.exe.lnk
[2011.05.31 19:24:53 | 000,000,736 | ---- | M] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\Desktop\Verknüpfung mit Defogger(1).exe.lnk
[2011.05.31 13:57:11 | 000,001,014 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2011.05.31 04:39:51 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.05.31 04:36:25 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.05.31 04:36:21 | 259,575,808 | -HS- | M] () -- C:\hiberfil.sys
[2011.05.31 01:58:59 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\defogger_reenable
[2011.05.29 23:37:29 | 000,262,406 | ---- | M] () -- C:\temp.raw
[2011.05.27 09:11:13 | 000,509,280 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.05.27 09:11:13 | 000,487,250 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.05.27 09:11:13 | 000,097,972 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.05.27 09:11:13 | 000,081,924 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.05.04 21:36:25 | 000,284,744 | ---- | M] (COMODO) -- C:\WINDOWS\System32\guard32.dll
[2011.05.04 21:36:24 | 000,096,608 | ---- | M] (COMODO) -- C:\WINDOWS\System32\drivers\inspect.sys
[2011.05.04 21:36:24 | 000,029,400 | ---- | M] (COMODO) -- C:\WINDOWS\System32\drivers\cmdhlp.sys
[2011.05.04 21:36:24 | 000,017,416 | ---- | M] (COMODO) -- C:\WINDOWS\System32\drivers\cmderd.sys
[2011.05.04 21:36:23 | 000,242,472 | ---- | M] (COMODO) -- C:\WINDOWS\System32\drivers\cmdGuard.sys
[2011.05.04 21:01:19 | 000,000,625 | ---- | M] () -- C:\WINDOWS\WISO.INI
[2011.05.04 20:57:56 | 000,001,730 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk
[2011.05.04 20:57:54 | 000,001,704 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WISO Steuer-Sparbuch 2011.lnk
[73 C:\Dokumente und Einstellungen\Der kleine Wolf\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Der kleine Wolf\Eigene Dateien\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.05.31 19:25:47 | 000,000,690 | ---- | C] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\Desktop\Verknüpfung mit OTL.exe.lnk
[2011.05.31 19:24:53 | 000,000,736 | ---- | C] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\Desktop\Verknüpfung mit Defogger(1).exe.lnk
[2011.05.31 01:58:59 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\defogger_reenable
[2011.05.13 05:07:17 | 000,000,708 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox
[2011.05.04 20:45:05 | 000,001,730 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk
[2011.05.04 20:45:00 | 000,001,704 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\WISO Steuer-Sparbuch 2011.lnk
[2011.02.04 23:52:45 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2011.02.04 23:52:45 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2010.11.20 18:45:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\editor.INI
[2009.10.11 18:14:30 | 000,088,576 | ---- | C] () -- C:\WINDOWS\RAUNINST.EXE
[2009.03.02 14:47:08 | 000,000,633 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009.02.25 14:30:11 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2009.02.19 22:10:39 | 000,001,209 | ---- | C] () -- C:\WINDOWS\uninst.ini
[2008.11.26 01:07:04 | 000,036,363 | ---- | C] () -- C:\WINDOWS\CSTBox.INI
[2008.06.08 15:18:16 | 000,000,612 | ---- | C] () -- C:\WINDOWS\eReg.dat
[2008.02.16 23:32:52 | 000,000,625 | ---- | C] () -- C:\WINDOWS\WISO.INI
[2008.02.16 23:32:41 | 000,229,888 | ---- | C] () -- C:\WINDOWS\fpuninst.exe
[2008.01.20 12:32:35 | 000,017,083 | ---- | C] () -- C:\WINDOWS\War3Unin.dat
[2007.12.25 20:52:56 | 000,000,191 | ---- | C] () -- C:\WINDOWS\QTW.INI
[2007.05.29 03:03:36 | 000,001,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2007.03.17 13:29:00 | 000,003,272 | ---- | C] () -- C:\WINDOWS\tm.ini
[2007.03.14 16:43:08 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.12.27 23:16:22 | 000,002,508 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\$_hpcst$.hpc
[2006.09.07 18:22:00 | 000,002,508 | ---- | C] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\$_hpcst$.hpc
[2006.08.08 17:35:59 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\dm.ini
[2006.05.28 17:47:16 | 000,000,056 | ---- | C] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\wklnhst.dat
[2006.05.28 08:32:58 | 000,000,360 | ---- | C] () -- C:\WINDOWS\hpipcopy.INI
[2006.05.28 06:31:50 | 000,089,088 | ---- | C] () -- C:\WINDOWS\System32\hpgt33.dll
[2006.05.28 06:30:51 | 000,000,148 | ---- | C] () -- C:\Dokumente und Einstellungen\Der kleine Wolf\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.05.28 00:18:17 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2006.05.28 00:10:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2006.05.28 00:10:30 | 000,003,030 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2006.05.27 18:42:44 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.05.27 18:25:30 | 000,097,312 | R--- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2006.05.27 18:22:43 | 000,038,213 | ---- | C] () -- C:\WINDOWS\System32\compare.dat
[2006.03.13 18:51:55 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.03.13 18:33:42 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.03.13 18:26:27 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll
[2006.03.13 18:23:20 | 000,002,856 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2006.03.13 18:14:00 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2006.03.13 17:33:46 | 000,000,778 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2006.03.13 17:32:23 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2006.03.13 17:27:44 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2006.03.13 17:23:05 | 000,004,328 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006.03.13 17:22:17 | 000,290,888 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2006.02.19 16:03:10 | 000,135,168 | R--- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2006.02.19 16:01:52 | 000,000,180 | ---- | C] () -- C:\WINDOWS\Option.ini
[2006.02.19 15:57:18 | 000,509,280 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006.02.19 15:57:18 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006.02.19 15:57:18 | 000,097,972 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006.02.19 15:57:18 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006.02.19 15:57:13 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.02.19 15:57:12 | 000,487,250 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006.02.19 15:57:12 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006.02.19 15:57:12 | 000,081,924 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006.02.19 15:57:12 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006.02.19 15:57:11 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006.02.19 15:57:11 | 000,004,711 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006.02.19 15:57:11 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2006.02.19 15:57:10 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006.02.19 15:57:09 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006.02.19 15:57:07 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006.02.19 15:57:05 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2005.10.15 15:25:20 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\myodbc3i.exe
[2005.10.15 15:25:20 | 000,011,776 | ---- | C] () -- C:\WINDOWS\System32\myodbc3m.exe
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2000.09.08 17:53:50 | 000,073,839 | ---- | C] () -- C:\WINDOWS\System32\KodakOneTouch.dll
[1997.06.14 10:56:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll
 
========== LOP Check ==========
 
[2010.07.26 01:01:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0nD9ak56jO
[2008.02.05 23:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
[2010.02.14 12:13:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2009.01.28 00:56:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2011.02.04 23:52:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2011.01.01 15:44:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GARMIN
[2008.06.27 00:12:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2006.03.13 18:27:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2008.07.11 14:24:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2006.05.28 06:35:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir
[2008.10.07 22:19:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2010.12.14 20:48:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SzcPxeXKjORk6
[2010.12.13 20:53:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UpperMark, LLC
[2009.12.20 16:53:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zsktqw4KjORk6
[2006.06.07 20:43:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Canon
[2010.08.03 17:51:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\CheckPoint
[2006.11.16 17:54:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\MAGIX
[2008.06.27 13:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\PC Suite
[2008.06.28 13:22:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Rorig Software
[2006.05.28 17:47:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Template
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2006.11.15 08:58:06 | 000,000,000 | ---D | M] -- C:\97ffc0db375b696fc6ca4a00d1d06ba3
[2009.08.24 17:34:35 | 000,000,000 | ---D | M] -- C:\9f99e647f72d09bbc9c94f6c38d5fa31
[2006.05.27 18:23:09 | 000,000,000 | ---D | M] -- C:\AOL
[2007.01.20 13:47:36 | 000,000,000 | ---D | M] -- C:\CANNON
[2006.05.31 21:15:51 | 000,000,000 | -H-D | M] -- C:\CanoScan
[2009.12.01 23:51:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2006.05.27 18:23:09 | 000,000,000 | ---D | M] -- C:\FirstSteps
[2011.01.01 15:30:29 | 000,000,000 | ---D | M] -- C:\Garmin
[2011.01.22 22:12:34 | 000,000,000 | ---D | M] -- C:\Herdt-Verlag
[2007.04.18 19:01:30 | 000,000,000 | ---D | M] -- C:\IEGD
[2006.02.19 15:58:12 | 000,000,000 | ---D | M] -- C:\ISP
[2007.05.28 23:48:18 | 000,000,000 | ---D | M] -- C:\KPCMS
[2006.05.27 18:23:09 | 000,000,000 | ---D | M] -- C:\LFS
[2007.05.30 22:34:25 | 000,000,000 | ---D | M] -- C:\MAGIX
[2006.05.27 18:23:09 | 000,000,000 | ---D | M] -- C:\Magix MediaSuite 2005
[2006.05.28 18:00:10 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2006.03.13 18:29:35 | 000,000,000 | ---D | M] -- C:\MSWorks
[2006.03.13 18:33:46 | 000,000,000 | ---D | M] -- C:\Office11
[2010.05.24 20:47:48 | 000,000,000 | ---D | M] -- C:\Program Files
[2011.02.13 14:00:25 | 000,000,000 | R--D | M] -- C:\Programme
[2006.05.27 18:23:07 | 000,000,000 | RHSD | M] -- C:\recover
[2006.05.28 08:24:29 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2006.02.19 15:55:54 | 000,000,000 | ---D | M] -- C:\SBSI
[2010.01.02 02:10:30 | 000,000,000 | ---D | M] -- C:\SIMCITY
[2011.05.08 21:04:58 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2006.09.06 23:36:00 | 000,000,000 | ---D | M] -- C:\temp
[2006.05.27 18:23:10 | 000,000,000 | ---D | M] -- C:\VOIP_Sipgate
[2011.04.15 17:51:58 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2010.09.20 17:16:12 | 000,000,000 | ---D | M] -- C:\zeugnis
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE >
[2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\recover\WINDOWS\$NtUninstallKB884883$\explorer.exe
[2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB884883$\explorer.exe
[2007.06.13 15:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2005.04.07 20:46:59 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=64322E8399B205B7281FF883737A9B03 -- C:\recover\WINDOWS\explorer.exe
[2005.04.07 20:46:59 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=64322E8399B205B7281FF883737A9B03 -- C:\recover\WINDOWS\system32\dllcache\explorer.exe
[2005.04.07 20:46:59 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=64322E8399B205B7281FF883737A9B03 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
 
< MD5 for: REGEDIT.EXE >
[2004.08.04 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\recover\WINDOWS\I386\REGEDIT.EXE
[2004.08.04 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\recover\WINDOWS\regedit.exe
[2004.08.04 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\recover\WINDOWS\system32\dllcache\regedit.exe
[2004.08.04 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe
[2004.08.04 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\I386\REGEDIT.EXE
[2008.04.14 04:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 04:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe
 
< MD5 for: USERINIT.EXE >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\recover\WINDOWS\system32\dllcache\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\recover\WINDOWS\system32\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE >
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\recover\WINDOWS\$NtUninstallKB883529$\winlogon.exe
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtUninstallKB883529$\winlogon.exe
[2004.08.25 18:59:56 | 000,507,904 | ---- | M] (Microsoft Corporation) MD5=325A82EBBD69248D75C5F831E8817D17 -- C:\recover\WINDOWS\system32\dllcache\winlogon.exe
[2004.08.25 18:59:56 | 000,507,904 | ---- | M] (Microsoft Corporation) MD5=325A82EBBD69248D75C5F831E8817D17 -- C:\recover\WINDOWS\system32\winlogon.exe
[2004.08.25 18:59:56 | 000,507,904 | ---- | M] (Microsoft Corporation) MD5=325A82EBBD69248D75C5F831E8817D17 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-05-27 07:23:32
 
< >
 
< End of report >
         
--- --- ---
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 31.05.2011 19:38:24 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Der kleine Wolf\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
247,00 Mb Total Physical Memory | 124,00 Mb Available Physical Memory | 50,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): C:\pagefile.sys 1000 1000 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,56 Gb Total Space | 24,28 Gb Free Space | 32,56% Space Free | Partition Type: NTFS
 
Computer Name: BARTEK | User Name: Der kleine Wolf | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Reality Pump\Earth 2160\Earth2160_NO_SSE.exe" = C:\Programme\Reality Pump\Earth 2160\Earth2160_NO_SSE.exe:*:Enabled:Earth 2160
"C:\Programme\Reality Pump\Earth 2160\Earth2160_SSE.exe" = C:\Programme\Reality Pump\Earth 2160\Earth2160_SSE.exe:*:Enabled:Earth 2160
"C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe" = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe:*:Enabled:EasyShare -- ()
"C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe" = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe:*:Disabled:Kodak Software Updater -- ()
"C:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe" = C:\Programme\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4 -- (Firaxis Games)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0008546E-DF6E-4CC1-AFD0-2CB8E16C95A2}" = Notifier
"{02F0B8AE-7501-4333-AFBE-6BAABFEC7637}" = WISO Steuer-Sparbuch 2011
"{03EDED24-8375-407D-A721-4643D9768BE1}" = kgchlwn
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{066D65EA-ED53-44E4-A96A-F81B6E409D2E}" = PC Connectivity Solution
"{073F22CE-9A5B-4A40-A604-C7270AC6BF34}" = ESSSONIC
"{0819E89D-6214-4B6F-A18D-4633CB4E0E4A}" = Softwareupdate für Webordner
"{0CB3C535-1171-4A20-B549-E2CB5DEB9723}" = MySQL Connector/ODBC 3.51
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP2600_series" = Canon iP2600 series
"{11F3F858-4131-4FFA-A560-3FE282933B6E}" = kgchday
"{14D4ED84-6A9A-45A0-96F6-1753768C3CB5}" = ESSPCD
"{154508C0-07C5-4659-A7A0-E49968750D21}" = HLPPDOCK
"{18A5DFF2-8A95-49F3-873F-743CB5549F3D}" = Canon ScanGear Starter
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2157961D-0507-44A8-BCF2-1EE2D439E8DF}" = Civilization III Complete Edition
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 24
"{2A03B9F8-BE6D-43C6-A16A-B9998A194AF0}" = Garmin Training Center
"{2D03B6F8-DF36-4980-B7B6-5B93D5BA3A8F}" = essvatgt
"{31E2413D-8AA1-43EC-8B8D-77B65ADA4611}" = Civilization III v1.21f
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3CA39B0C-BA85-4D42-AC0F-1FF5F60C3353}" = OTtBPSDK
"{47D2103B-FD51-4017-9C20-DD408B17D726}" = Office 2003 Trial Assistant
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{56364334-9530-11D2-BFFC-00C04FA329AA}" = Microsoft Works 2000
"{5DDF49BD-3F28-4350-9E99-E099815AEEF8}" = Falk Navigator SC
"{605A4E39-613C-4A12-B56F-DEFBE6757237}" = SHASTA
"{643EAE81-920C-4931-9F0B-4B343B225CA6}" = ESSBrwr
"{65F9E1F3-A2C1-4AA9-9F33-A3AEB0255F0E}" = Garmin USB Drivers
"{6815FCDD-401D-481E-BA88-31B4754C2B46}" = Macromedia Flash Player 8
"{693C08A7-9E76-43FF-B11E-9A58175474C4}" = kgckids
"{7342DC58-09FD-4B25-B8CE-3891137730E4}" = Karte Mitteleuropa
"{7500B4F1-0D53-40EC-8D5B-31BE996529E2}" = Toefl
"{87843A41-7808-4F2E-B13F-25C1E67CF2FD}" = ESShelp
"{8943CE61-53BD-475E-90E1-A580869E98A2}" = staticcr
"{8A502E38-29C9-49FA-BCFA-D727CA062589}" = ESSTOOLS
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics Driver
"{8A8664E1-84C8-4936-891C-BC1F07797549}" = kgcvday
"{8BE78E98-3600-4830-B41A-D7BEB828D2CB}_is1" = RGS Schulzeugnis 5
"{8E92D746-CD9F-4B90-9668-42B74C14F765}" = ESSini
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{91517631-A9F3-4B7C-B482-43E0068FD55A}" = ESSgui
"{999D43F4-9709-4887-9B1A-83EBB15A8370}" = VPRINTOL
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BD54685-1496-46A5-AB62-357CD140ED8B}" = kgcinvt
"{9D8FEE90-0377-49A9-AEFB-525BDE549BA4}" = ESScore
"{A1588373-1D86-4D44-86C9-78ABD190F9CC}" = kgcmove
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A70900000002}" = Adobe Reader 7.0.9 - Deutsch
"{AE1FA02D-E6A4-4EA0-8E58-6483CAC016DD}" = ESSCDBK
"{B162D0A6-9A1D-4B7C-91A5-88FB48113C45}" = OfotoXMI
"{B208806F-A231-4FA0-AB3F-5C1B8979223E}" = Microsoft ActiveSync 4.0
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B4B44FE7-41FF-4DAD-8C0A-E406DDA72992}" = CCScore
"{B6C2569C-E2AA-4AB9-8C26-AC2487A2BFFC}" = Sid Meier's Civilization 4
"{B997C2A0-4383-41BF-B76E-9B8B7ECFB267}" = KSU
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC6B1BB4-4E06-4A5B-A166-B371B551324B}" = COMODO Internet Security
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}" = Sid Meier's Civilization 4
"{D1973749-F5E7-40EB-B528-F2B78685B9FF}" = essvcpt
"{D32470A1-B10C-4059-BA53-CF0486F68EBC}" = Kodak EasyShare Software
"{DB02F716-6275-42E9-B8D2-83BA2BF5100B}" = SFR
"{E18B549C-5D15-45DA-8D8F-8FD2BD946344}" = kgcbaby
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F22C222C-3CE2-4A4B-A83F-AF4681371ABE}" = kgcbase
"{F4A2E7CC-60CA-4AFA-B67F-AD5E58173C3F}" = SKINXSDK
"{F71760CD-0F8B-4DCC-B7B7-6B223CC3843C}" = OTtBP
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F9593CFB-D836-49BC-BFF1-0E669A411D9F}" = WIRELESS
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FCDB1C92-03C6-4C76-8625-371224256091}" = ESSPDock
"{FDF9943A-3D5C-46B3-9679-586BD237DDEE}" = SKIN0001
"49CF605F02C7954F4E139D18828DE298CD59217C" = Windows Driver Package - Garmin (grmnusb) GARMIN Devices (06/03/2009 2.3.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"Age of Empires" = Microsoft Age of Empires
"Age of Empires Expansion 1.0" = Microsoft Age of Empires Expansion
"Age of Empires Expansion Trial 1.00" = Microsoft Age of Empires Expansion Trial
"ANSTOSS 3_is1" = ANSTOSS 3
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"Cannon Fodder_is1" = Cannon Fodder
"CanonMyPrinter" = Canon My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"eToro" = eToro
"F064B256B4A20996EA9E333B5E0F14B61AB3333D" = Windows Driver Package - Nokia (WUDFRd) WPD (03/19/2007 6.83.31.1)
"FreePDF_XP" = FreePDF (Remove only)
"Google Updater" = Google Updater
"GPL Ghostscript 9.00" = GPL Ghostscript 9.00
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{2157961D-0507-44A8-BCF2-1EE2D439E8DF}" = Civilization III Complete Edition
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Maniac Mansion Deluxe" = Maniac Mansion Deluxe
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 4.0.1 (x86 en-US)" = Mozilla Firefox 4.0.1 (x86 en-US)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero OEM
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NeroVision!UninstallKey" = Nero Digital
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVEContent!UninstallKey" = NeroVision Express Content
"NVIDIA Drivers" = NVIDIA Drivers
"RealPlayer 6.0" = RealPlayer
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"S3" = Die Siedler III Gold Edition
"San Andreas Radio_is1" = San Andreas Radio V1.0
"SimCity 3000" = SimCity 3000
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4
"SystemRequirementsLab" = System Requirements Lab
"TestBank Level I - March 2010" = UpperMark, LLC TestBank Level I - March 2010
"TestBank Level II - March 2011" = UpperMark, LLC TestBank Level II - March 2011
"TestBank Level II - September 2010" = UpperMark, LLC TestBank Level II - September 2010
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"Wise Registry Cleaner_is1" = Wise Registry Cleaner 5.9.1
"WMCSetup" = Windows Media Connect
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 01.05.2011 16:59:33 | Computer Name = BARTEK | Source = Avira AntiVir | ID = 4112
Description = Bei der Anforderung nach einer Resource des Betriebssystems trat ein
Fehler auf. Die Resource 'ThreadInit' wurde nicht zugewiesen. Der Grund hierfür könnte
zu wenig Hauptspeicher oder ein anderer Systemfehler sein. Fehlercode: 0x18
 
Error - 01.05.2011 17:00:55 | Computer Name = BARTEK | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung avguard.exe, Version 10.0.1.58, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x010e9c1c.
 
Error - 02.05.2011 13:54:02 | Computer Name = BARTEK | Source = Application Error | ID = 1004
Description = Fehlgeschlagene Anwendung avguard.exe, Version 10.0.1.58, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x010e9c1c.
 
Error - 07.05.2011 16:56:44 | Computer Name = BARTEK | Source = VSS | ID = 12292
Description = Volumeschattenkopie-Dienstfehler: Beim Erstellen der Schattenkopieanbieter-COM-Klasse
mit CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x8007041d] ist ein Fehler aufgetreten.
 
Error - 08.05.2011 14:56:07 | Computer Name = BARTEK | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
ist ein unerwarteter Fehler aufgetreten. hr = 0x8007041d.
 
Error - 11.05.2011 14:02:16 | Computer Name = BARTEK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 15.05.2011 16:52:50 | Computer Name = BARTEK | Source = Avira AntiVir | ID = 4112
Description = Bei der Anforderung nach einer Resource des Betriebssystems trat ein
Fehler auf. Die Resource 'ThreadInit' wurde nicht zugewiesen. Der Grund hierfür könnte
zu wenig Hauptspeicher oder ein anderer Systemfehler sein. Fehlercode: 0x18
 
Error - 18.05.2011 13:46:19 | Computer Name = BARTEK | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung plugin-container.exe, Version 2.0.1.4120,
fehlgeschlagenes Modul mozalloc.dll, Version 2.0.1.4120, Fehleradresse 0x00001a39.
 
Error - 24.05.2011 23:25:51 | Computer Name = BARTEK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 26.05.2011 19:41:29 | Computer Name = BARTEK | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
[ System Events ]
Error - 26.05.2011 19:41:29 | Computer Name = BARTEK | Source = Service Control Manager | ID = 7000
Description = Der Dienst "WMI-Leistungsadapter" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053
 
Error - 29.05.2011 18:05:14 | Computer Name = BARTEK | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst HTTP-SSL.
 
Error - 29.05.2011 18:05:14 | Computer Name = BARTEK | Source = Service Control Manager | ID = 7000
Description = Der Dienst "HTTP-SSL" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1053
 
Error - 29.05.2011 18:05:17 | Computer Name = BARTEK | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst
"HTTP-SSL" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1053
 
Error - 29.05.2011 18:05:17 | Computer Name = BARTEK | Source = Service Control Manager | ID = 7017
Description = Erkannte Ringabhängigkeiten erfordern Start von Windows Media Player-Netzwerkfreigabedienst.
 
Error - 29.05.2011 18:08:15 | Computer Name = BARTEK | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst HTTP-SSL.
 
Error - 29.05.2011 18:08:15 | Computer Name = BARTEK | Source = Service Control Manager | ID = 7000
Description = Der Dienst "HTTP-SSL" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1053
 
Error - 30.05.2011 20:15:16 | Computer Name = BARTEK | Source = ipnathlp | ID = 31012
Description = Es ist ein Fehler bei der Übertragung der lokalen Liste der Namensauflösungsserver
zum DNS-Proxy-Agenten aufgetreten. Einige DNS- oder WINS-Server sind für Clients
des lokalen Netzwerks nicht erreichbar. Die Daten enthalten den Fehlercode.
 
Error - 30.05.2011 20:15:46 | Computer Name = BARTEK | Source = ipnathlp | ID = 31012
Description = Es ist ein Fehler bei der Übertragung der lokalen Liste der Namensauflösungsserver
zum DNS-Proxy-Agenten aufgetreten. Einige DNS- oder WINS-Server sind für Clients
des lokalen Netzwerks nicht erreichbar. Die Daten enthalten den Fehlercode.
 
Error - 30.05.2011 20:15:46 | Computer Name = BARTEK | Source = ipnathlp | ID = 31012
Description = Es ist ein Fehler bei der Übertragung der lokalen Liste der Namensauflösungsserver
zum DNS-Proxy-Agenten aufgetreten. Einige DNS- oder WINS-Server sind für Clients
des lokalen Netzwerks nicht erreichbar. Die Daten enthalten den Fehlercode.
 
 
< End of report >
         
--- --- ---

Ich bedanke mich für eure Mühe und freue mich auf hilfreichen Rat!

Alt 01.06.2011, 11:08   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Zitat:
Ich habe früher die Firewall von Zonealarm benutzt, dann aber auf Comodo gewechselt (Empfehlung könnte ich hier gelesen haben, bin nicht mehr sicher). Mit Zonealarm hatte ich seinerzeit auch häufig mit Performanceproblemen zu kämpfen, wurde mit Comodo besser!
Dennoch bleiben PersonalFirewalls sinnfrei. Besser ist man mit der Windows-Firewall dran, ich rate dringend von buntem Spielzeug wie ZoneAlarm, Comodo, Outpost etc. ab.



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [SunJavaUpdateSched] File not found
O4 - HKLM..\RunOnceEx: [] File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.03.13 17:29:53 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\Shell - "" = AutoRun
O33 - MountPoints2\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\Shell\AutoRun\command - "" = E:\pushinst.exe
[2010.07.26 01:01:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0nD9ak56jO
[2010.12.14 20:48:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SzcPxeXKjORk6
[2009.12.20 16:53:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zsktqw4KjORk6
[2006.11.15 08:58:06 | 000,000,000 | ---D | M] -- C:\97ffc0db375b696fc6ca4a00d1d06ba3
[2009.08.24 17:34:35 | 000,000,000 | ---D | M] -- C:\9f99e647f72d09bbc9c94f6c38d5fa31
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________

__________________

Alt 01.06.2011, 14:20   #3
Crackspread
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Mahlzeit!

1. für den Rat zur Firewall - Wahl. Ich beherzige dass und schmeiße Comodo zugunsten Windows - Firewall raus. Damit warte ich aber bis nach der Diagnose meines akuten Problems, es sei denn, Du rätst mir, dass sofort zu machen.

2. Logfile OTL:

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6a086b8e-ed9c-11da-b3ee-0013d4e54236}\ not found.
File E:\pushinst.exe not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0nD9ak56jO folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SzcPxeXKjORk6 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zsktqw4KjORk6 folder moved successfully.
C:\97ffc0db375b696fc6ca4a00d1d06ba3 folder moved successfully.
C:\9f99e647f72d09bbc9c94f6c38d5fa31\i386 folder moved successfully.
C:\9f99e647f72d09bbc9c94f6c38d5fa31\amd64 folder moved successfully.
C:\9f99e647f72d09bbc9c94f6c38d5fa31 folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.22.3 log created on 06012011_151301

Bin gespannt...
__________________

Alt 01.06.2011, 14:27   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.06.2011, 17:55   #5
Crackspread
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Hallo nochmal,

Tool ist durchgelaufen, Neustart ausgeführt und unhide.exe ausgeführt. Hier das Logfile vom Kaspersky - Tool:

2011/06/01 18:21:25.0234 3352 TDSS rootkit removing tool 2.5.3.0 May 25 2011 07:09:24
2011/06/01 18:21:25.0593 3352 ================================================================================
2011/06/01 18:21:25.0593 3352 SystemInfo:
2011/06/01 18:21:25.0593 3352
2011/06/01 18:21:25.0593 3352 OS Version: 5.1.2600 ServicePack: 3.0
2011/06/01 18:21:25.0593 3352 Product type: Workstation
2011/06/01 18:21:25.0593 3352 ComputerName: BARTEK
2011/06/01 18:21:25.0593 3352 UserName: Der kleine Wolf
2011/06/01 18:21:25.0593 3352 Windows directory: C:\WINDOWS
2011/06/01 18:21:25.0593 3352 System windows directory: C:\WINDOWS
2011/06/01 18:21:25.0593 3352 Processor architecture: Intel x86
2011/06/01 18:21:25.0593 3352 Number of processors: 1
2011/06/01 18:21:25.0593 3352 Page size: 0x1000
2011/06/01 18:21:25.0593 3352 Boot type: Normal boot
2011/06/01 18:21:25.0593 3352 ================================================================================
2011/06/01 18:21:28.0640 3352 Initialize success


Alt 01.06.2011, 20:51   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Log ist zu kurz, bitte prüfen ob das Tool so ausgeführt wurde wie angesagt.
__________________
--> "PUM.Disabled.SecurityCenter" Registry infiziert

Alt 01.06.2011, 23:01   #7
Crackspread
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Und jetzt nochmal richtig (hoffentlich):

2011/06/01 23:51:37.0781 4084 TDSS rootkit removing tool 2.5.3.0 May 25 2011 07:09:24
2011/06/01 23:51:38.0000 4084 ================================================================================
2011/06/01 23:51:38.0000 4084 SystemInfo:
2011/06/01 23:51:38.0000 4084
2011/06/01 23:51:38.0000 4084 OS Version: 5.1.2600 ServicePack: 3.0
2011/06/01 23:51:38.0000 4084 Product type: Workstation
2011/06/01 23:51:38.0000 4084 ComputerName: BARTEK
2011/06/01 23:51:38.0000 4084 UserName: Der kleine Wolf
2011/06/01 23:51:38.0000 4084 Windows directory: C:\WINDOWS
2011/06/01 23:51:38.0000 4084 System windows directory: C:\WINDOWS
2011/06/01 23:51:38.0000 4084 Processor architecture: Intel x86
2011/06/01 23:51:38.0000 4084 Number of processors: 1
2011/06/01 23:51:38.0000 4084 Page size: 0x1000
2011/06/01 23:51:38.0000 4084 Boot type: Normal boot
2011/06/01 23:51:38.0000 4084 ================================================================================
2011/06/01 23:51:40.0390 4084 Initialize success
2011/06/01 23:53:23.0515 2212 ================================================================================
2011/06/01 23:53:23.0515 2212 Scan started
2011/06/01 23:53:23.0515 2212 Mode: Manual;
2011/06/01 23:53:23.0515 2212 ================================================================================
2011/06/01 23:53:25.0171 2212 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/06/01 23:53:25.0328 2212 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/06/01 23:53:25.0671 2212 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/06/01 23:53:26.0203 2212 AFD (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys
2011/06/01 23:53:26.0906 2212 ALCXWDM (03921c35bfadc849ca3045abed8d26f2) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/06/01 23:53:28.0015 2212 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/06/01 23:53:28.0265 2212 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/06/01 23:53:28.0515 2212 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/06/01 23:53:28.0703 2212 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/06/01 23:53:28.0921 2212 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/06/01 23:53:29.0171 2212 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/06/01 23:53:29.0359 2212 avipbb (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/06/01 23:53:29.0656 2212 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/06/01 23:53:29.0906 2212 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/06/01 23:53:30.0234 2212 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/06/01 23:53:30.0453 2212 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/06/01 23:53:30.0656 2212 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/06/01 23:53:31.0031 2212 cmdGuard (cc56fa45ba18904cb04382ae9f52b1a5) C:\WINDOWS\system32\DRIVERS\cmdguard.sys
2011/06/01 23:53:31.0156 2212 cmdHlp (3a70948ab6e966bdaef2baec1f8ef9d1) C:\WINDOWS\system32\DRIVERS\cmdhlp.sys
2011/06/01 23:53:31.0593 2212 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/06/01 23:53:31.0781 2212 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/06/01 23:53:32.0078 2212 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/06/01 23:53:32.0343 2212 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/06/01 23:53:32.0593 2212 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/06/01 23:53:32.0953 2212 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/06/01 23:53:33.0406 2212 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/06/01 23:53:33.0906 2212 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/06/01 23:53:34.0500 2212 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/06/01 23:53:35.0078 2212 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/06/01 23:53:35.0671 2212 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/06/01 23:53:36.0328 2212 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/06/01 23:53:36.0984 2212 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/06/01 23:53:37.0359 2212 FWLANUSB (ecb814c5d07839843aa5c3a1ee3ba8f3) C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
2011/06/01 23:53:37.0562 2212 gameenum (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/06/01 23:53:37.0781 2212 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/06/01 23:53:37.0984 2212 grmnusb (6003bc70f1a8307262bd3c941bda0b7e) C:\WINDOWS\system32\drivers\grmnusb.sys
2011/06/01 23:53:38.0828 2212 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/06/01 23:53:39.0218 2212 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/06/01 23:53:39.0593 2212 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/06/01 23:53:39.0828 2212 ialm (44b7d5a4f2bd9fe21aea0bb0bace38c4) C:\WINDOWS\system32\DRIVERS\ialmnt5.sys
2011/06/01 23:53:40.0156 2212 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/06/01 23:53:40.0500 2212 Inspect (890b8c4a85517820abe539d6629fc1da) C:\WINDOWS\system32\DRIVERS\inspect.sys
2011/06/01 23:53:40.0656 2212 IntelIde (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/06/01 23:53:40.0875 2212 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/06/01 23:53:41.0093 2212 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/06/01 23:53:41.0312 2212 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/06/01 23:53:41.0515 2212 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/06/01 23:53:41.0687 2212 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/06/01 23:53:41.0843 2212 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/06/01 23:53:42.0046 2212 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/06/01 23:53:42.0187 2212 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/06/01 23:53:42.0406 2212 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/06/01 23:53:42.0593 2212 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/06/01 23:53:42.0796 2212 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/06/01 23:53:43.0062 2212 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/06/01 23:53:43.0562 2212 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/06/01 23:53:43.0765 2212 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/06/01 23:53:44.0000 2212 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/06/01 23:53:44.0203 2212 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/06/01 23:53:44.0390 2212 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/06/01 23:53:44.0703 2212 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/06/01 23:53:44.0937 2212 MRxSmb (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/06/01 23:53:45.0234 2212 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/06/01 23:53:45.0421 2212 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/06/01 23:53:45.0625 2212 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/06/01 23:53:45.0812 2212 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/06/01 23:53:46.0000 2212 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/06/01 23:53:46.0156 2212 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/06/01 23:53:46.0375 2212 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/06/01 23:53:46.0593 2212 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/06/01 23:53:46.0812 2212 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/06/01 23:53:47.0031 2212 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/06/01 23:53:47.0171 2212 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/06/01 23:53:47.0375 2212 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/06/01 23:53:47.0593 2212 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/06/01 23:53:47.0921 2212 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/06/01 23:53:48.0125 2212 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/06/01 23:53:48.0406 2212 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/06/01 23:53:48.0578 2212 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/06/01 23:53:48.0796 2212 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/06/01 23:53:49.0000 2212 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/06/01 23:53:49.0187 2212 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/06/01 23:53:49.0375 2212 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/06/01 23:53:49.0593 2212 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/06/01 23:53:49.0890 2212 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/06/01 23:53:50.0062 2212 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/06/01 23:53:50.0843 2212 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/06/01 23:53:51.0062 2212 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/06/01 23:53:51.0250 2212 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/06/01 23:53:51.0453 2212 PxHelp20 (0c8da0a8b0d227319c285e0eae65defd) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/06/01 23:53:52.0109 2212 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/06/01 23:53:52.0281 2212 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/06/01 23:53:52.0437 2212 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/06/01 23:53:52.0640 2212 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/06/01 23:53:52.0843 2212 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/06/01 23:53:53.0062 2212 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/06/01 23:53:53.0296 2212 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/06/01 23:53:53.0531 2212 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/06/01 23:53:53.0812 2212 RTL8023xp (7988bfe882bcd94199225b5c3482f1bd) C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys
2011/06/01 23:53:54.0015 2212 rtl8139 (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/06/01 23:53:54.0265 2212 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/06/01 23:53:54.0515 2212 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/06/01 23:53:54.0671 2212 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/06/01 23:53:54.0937 2212 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/06/01 23:53:55.0406 2212 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/06/01 23:53:55.0609 2212 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/06/01 23:53:55.0828 2212 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/06/01 23:53:56.0062 2212 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/06/01 23:53:56.0265 2212 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/06/01 23:53:56.0375 2212 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/06/01 23:53:56.0984 2212 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/06/01 23:53:57.0234 2212 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/06/01 23:53:57.0484 2212 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/06/01 23:53:57.0687 2212 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/06/01 23:53:57.0875 2212 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/06/01 23:53:58.0250 2212 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/06/01 23:53:58.0531 2212 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/06/01 23:53:58.0781 2212 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/06/01 23:53:58.0968 2212 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/06/01 23:53:59.0140 2212 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/06/01 23:53:59.0390 2212 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/06/01 23:53:59.0593 2212 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/06/01 23:53:59.0796 2212 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/06/01 23:53:59.0968 2212 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/06/01 23:54:00.0156 2212 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/06/01 23:54:00.0500 2212 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/06/01 23:54:00.0734 2212 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/06/01 23:54:00.0906 2212 wceusbsh (4a954a20a4c73d6db13c0fe25f3f1b0c) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
2011/06/01 23:54:01.0234 2212 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/06/01 23:54:01.0593 2212 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/06/01 23:54:01.0796 2212 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/06/01 23:54:01.0953 2212 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
2011/06/01 23:54:02.0140 2212 ================================================================================
2011/06/01 23:54:02.0140 2212 Scan finished
2011/06/01 23:54:02.0140 2212 ================================================================================
2011/06/01 23:54:02.0171 3920 Detected object count: 0
2011/06/01 23:54:02.0171 3920 Actual detected object count: 0

Alt 02.06.2011, 00:27   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.06.2011, 18:07   #9
Crackspread
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Hello again!

Sorry, dass es etwas gedauert hat, war etwas neben der Spur gestern...

Hier das Combofix - Log:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-06-03.02 - Der kleine Wolf 03.06.2011  17:57:42.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Der kleine Wolf\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804E5358-FFA4-00FC-0D24-347CA8A3377C}
FW: COMODO Firewall *Enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Der kleine Wolf\WINDOWS
c:\dokumente und einstellungen\Magnum\WINDOWS
c:\firststeps\FirstSteps.exe
c:\windows\system32\tmp.reg
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-03 bis 2011-06-03  ))))))))))))))))))))))))))))))
.
.
2011-06-01 13:13 . 2011-06-01 13:13	--------	d-----w-	C:\_OTL
2011-05-20 04:36 . 2011-05-20 04:36	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-13 03:06 . 2011-05-13 03:06	781272	----a-w-	c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-05-13 03:06 . 2011-05-13 03:06	1874904	----a-w-	c:\programme\Mozilla Firefox\mozjs.dll
2011-05-13 03:06 . 2011-05-13 03:06	89048	----a-w-	c:\programme\Mozilla Firefox\libEGL.dll
2011-05-13 03:06 . 2011-05-13 03:06	465880	----a-w-	c:\programme\Mozilla Firefox\libGLESv2.dll
2011-05-13 03:06 . 2011-05-13 03:06	15832	----a-w-	c:\programme\Mozilla Firefox\mozalloc.dll
2011-05-13 03:06 . 2011-05-13 03:06	1892184	----a-w-	c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-05-13 03:06 . 2011-05-13 03:06	142296	----a-w-	c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-05-13 03:06 . 2011-05-13 03:06	1974616	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-05-08 16:21 . 2011-02-02 18:19	73728	----a-w-	c:\windows\system32\javacpl.cpl
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-04 19:36 . 2010-06-01 17:00	284744	----a-w-	c:\windows\system32\guard32.dll
2011-05-04 19:36 . 2010-06-01 17:00	96608	----a-w-	c:\windows\system32\drivers\inspect.sys
2011-05-04 19:36 . 2010-06-01 17:00	29400	----a-w-	c:\windows\system32\drivers\cmdhlp.sys
2011-05-04 19:36 . 2010-06-01 17:00	17416	----a-w-	c:\windows\system32\drivers\cmderd.sys
2011-05-04 19:36 . 2010-06-04 09:55	242472	----a-w-	c:\windows\system32\drivers\cmdGuard.sys
2011-03-19 14:45 . 2009-07-17 22:03	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2006-03-13 15:27	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-05-13 03:06 . 2011-05-13 03:06	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-02-22 1499136]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-26 652624]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-14 1603152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-06 281768]
"COMODO Internet Security"="c:\programme\COMODO\COMODO Internet Security\cfp.exe" [2011-05-04 2560840]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
WISO Mein Steuer-Sparbuch heute.lnk - c:\programme\WISO\Steuersoftware 2011\mshaktuell.exe [2011-2-3 1305200]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [04.06.2010 11:55 242472]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [01.06.2010 19:00 29400]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.07.2009 00:03 136360]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [27.05.2006 18:25 264704]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\SophosMEMSWEEP.SYS --> c:\windows\system32\SophosMEMSWEEP.SYS [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-03 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-10-03 13:02]
.
2010-09-14 c:\windows\Tasks\Spybot - Search & Destroy -  Scheduled Task.job
- c:\programme\Spybot - Search & Destroy\SpybotSD.exe [2007-03-12 14:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/fsc/
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*hxxp://www.yahoo.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{7F7CB9DD-4DE2-42B6-B582-FEFA79294859}: NameServer = 156.154.70.22,156.154.71.22
TCP: Interfaces\{CBBFAE9E-4351-4E19-A052-5BD43296310F}: NameServer = 156.154.70.22,156.154.71.22
DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - ProfilePath - c:\dokumente und einstellungen\Der kleine Wolf\Anwendungsdaten\Mozilla\Firefox\Profiles\cg13hfl0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - ZoneAlarm-Sicherheit Customized Web Search
FF - prefs.js: keyword.URL - chrome://browser-region/locale/region.properties
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-03 18:26
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose, ZwOpenFile
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(744)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'lsass.exe'(800)
c:\windows\system32\guard32.dll
.
Zeit der Fertigstellung: 2011-06-03  18:38:08
ComboFix-quarantined-files.txt  2011-06-03 16:38
.
Vor Suchlauf: 26 Verzeichnis(se), 25.615.867.904 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 25.834.508.288 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut
.
- - End Of File - - CF377E14B5B13879A43CCB7E180B7BDE
         
--- --- ---

Habe leider meinen Virenscanner und die Firewall erst ausgeschaltet, als Combofix losgelegt hat. Da kam dann auch eine Warnmeldung, da das Programm das gleich gecheckt hat. Dann ausgemacht und weitergescannt, hoffe da ist alles glatt gegangen.

Danke für die Hilfe auf jeden Fall bis hierher!

Alt 03.06.2011, 19:14   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Zitat:
FW: COMODO Firewall *Enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
Achso, ich wollte erwähnen, dass du sie deinstallieren solltest. Mach das mal dann gehts weiter mit GMER OSAM und mbrcheck:
=> Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.06.2011, 23:55   #11
Crackspread
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Moin!

Das hat etwas gedauert mit GMER und dann leider nicht geklappt, ist zweimal abgeschmiert. Beim ersten Mal war das Tool offenbar schon recht weit durchgelaufen und hatte diverse Meldungen erstellt, bevor der Crash kam.

Habe dann wie empfohlen OSAM ausgeführt:

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:53:09 on 04.06.2011

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Google Software Updater.job" - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Spybot - Search & Destroy -  Scheduled Task.job" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SpybotSD.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ALSNDMGR.CPL" - ? - C:\WINDOWS\system32\ALSNDMGR.CPL  (File signed by Microsoft | File found, but it contains no detailed information)
"ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddbaccpl.cpl
"ddbacctm.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddbacctm.cpl
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"NeroBurnRights.cpl" - "Ahead Software AG" - C:\WINDOWS\system32\NeroBurnRights.cpl
"QTW32.CPL" - "Apple Computer, Inc." - C:\WINDOWS\system32\QTW32.CPL
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\DERKLE~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MEMSWEEP2" (MEMSWEEP2) - ? - C:\WINDOWS\system32\SophosMEMSWEEP.SYS  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{88895560-9AA2-1069-930E-00AA0030EBC8} "HyperTerminal Icon Ext" - ? - C:\WINDOWS\system32\hticons.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL
{49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" - "Microsoft Corporation" - C:\PROGRA~1\MI3AA1~1\Wcesview.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Program Files\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\msonsext.dll
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll
{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{1E54D648-B804-468d-BC78-4AFFED8E262F} "System Requirements Lab Class" - "Husdawg, LLC" - C:\WINDOWS\Downloaded Program Files\sysreqlab_nvd.dll / hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / 
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Reader - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"WISO Mein Steuer-Sparbuch heute.lnk" - "Buhl Tax Service, Hannover" - C:\Programme\WISO\Steuersoftware 2011\mshaktuell.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"AVMWlanClient" - "AVM GmbH Berlin" - C:\Programme\avmwlanstick\wlangui.exe
"CanonMyPrinter" - "CANON INC." - C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
"CanonSolutionMenu" - "CANON INC." - C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"AVM WLAN Connection Service" (AVM WLAN Connection Service) - "AVM Berlin" - C:\Programme\avmwlanstick\WlanNetService.exe
"getPlus(R) Helper" (getPlusHelper) - "NOS Microsystems Ltd." - C:\Programme\NOS\bin\getPlus_Helper.dll
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"ServiceLayer" (ServiceLayer) - "Nokia." - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

______________________________
Und hier MBERCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 113):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF9A28000 \WINDOWS\system32\KDCOM.DLL
0xF9938000 \WINDOWS\system32\BOOTVID.dll
0xF94D8000 ACPI.sys
0xF9A2A000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF94C7000 pci.sys
0xF9528000 isapnp.sys
0xF9AF0000 pciide.sys
0xF97A8000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF9A2C000 intelide.sys
0xF9538000 MountMgr.sys
0xF94A8000 ftdisk.sys
0xF97B0000 PartMgr.sys
0xF9548000 VolSnap.sys
0xF9490000 atapi.sys
0xF9558000 disk.sys
0xF9568000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF9470000 fltmgr.sys
0xF945E000 sr.sys
0xF9578000 PxHelp20.sys
0xF9447000 KSecDD.sys
0xF93BA000 Ntfs.sys
0xF938D000 NDIS.sys
0xF9373000 Mup.sys
0xF9718000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF8DFB000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xF8DE7000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF9868000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF8DC3000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF9870000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF8DAF000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xF9728000 \SystemRoot\system32\DRIVERS\serial.sys
0xF9A08000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF8D9B000 \SystemRoot\system32\DRIVERS\parport.sys
0xF9A0C000 \SystemRoot\system32\DRIVERS\gameenum.sys
0xF9738000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF9748000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF9758000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF8D78000 \SystemRoot\system32\DRIVERS\ks.sys
0xF89CD000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF89A9000 \SystemRoot\system32\drivers\portcls.sys
0xF9768000 \SystemRoot\system32\drivers\drmk.sys
0xF9B55000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF9778000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF9A14000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF8992000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF9788000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF9798000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF9878000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF8981000 \SystemRoot\system32\DRIVERS\psched.sys
0xF95A8000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF9880000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF9888000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF95D8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF9890000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF9898000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF9A5E000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF8923000 \SystemRoot\system32\DRIVERS\update.sys
0xF8ED9000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF95F8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF9628000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF9A62000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF9A64000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF9BA2000 \SystemRoot\System32\Drivers\Null.SYS
0xF9A66000 \SystemRoot\System32\Drivers\Beep.SYS
0xF98C0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF98C8000 \SystemRoot\System32\drivers\vga.sys
0xF9A68000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF9A6A000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF98D0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF98D8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF99D8000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF0722000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF06C9000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF06A1000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF067F000 \SystemRoot\System32\drivers\afd.sys
0xF9648000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF0654000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF05E4000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF9658000 \SystemRoot\System32\Drivers\Fips.SYS
0xF05BE000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF9668000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF0598000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF99FC000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xF9A72000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF96D8000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF9A00000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF95B8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF98F0000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF9A04000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF8EE1000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF04B8000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF9A7E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF8913000 \SystemRoot\System32\drivers\Dxapi.sys
0xF98F8000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF9B58000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF03F000 \SystemRoot\System32\ialmdev5.DLL
0xBF06B000 \SystemRoot\System32\ialmdd5.DLL
0xBF148000 \SystemRoot\System32\ATMFD.DLL
0xF0403000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF01CE000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF0508000 \SystemRoot\system32\DRIVERS\secdrv.sys
0xEFEA6000 \SystemRoot\system32\DRIVERS\srv.sys
0xEFA0E000 \SystemRoot\System32\Drivers\HTTP.sys
0xEF9A9000 \SystemRoot\system32\drivers\wdmaud.sys
0xEFAE6000 \SystemRoot\system32\drivers\sysaudio.sys
0xEF516000 \SystemRoot\system32\DRIVERS\fwlanusb.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
0 System Idle Process
4 System
452 C:\WINDOWS\system32\smss.exe
508 csrss.exe
532 C:\WINDOWS\system32\winlogon.exe
576 C:\WINDOWS\system32\services.exe
588 C:\WINDOWS\system32\lsass.exe
756 C:\WINDOWS\system32\svchost.exe
804 svchost.exe
844 C:\WINDOWS\system32\svchost.exe
892 svchost.exe
944 svchost.exe
1024 C:\WINDOWS\system32\spoolsv.exe
1084 C:\Programme\Avira\AntiVir Desktop\sched.exe
1132 svchost.exe
1196 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1208 C:\Programme\avmwlanstick\WLanNetService.exe
1268 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1328 C:\Programme\Java\jre6\bin\jqs.exe
1360 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
1424 C:\WINDOWS\system32\svchost.exe
344 alg.exe
1904 C:\WINDOWS\system32\svchost.exe
2836 wmpnetwk.exe
232 C:\WINDOWS\system32\wscntfy.exe
980 C:\WINDOWS\explorer.exe
2120 C:\WINDOWS\system32\igfxtray.exe
2188 C:\WINDOWS\system32\hkcmd.exe
2204 C:\Programme\avmwlanstick\WLanGUI.exe
2248 C:\Programme\Canon\MyPrinter\BJMYPRT.EXE
680 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2220 C:\Programme\FreePDF_XP\fpassist.exe
2156 C:\Programme\Microsoft ActiveSync\wcescomm.exe
3220 C:\PROGRA~1\MI3AA1~1\rapimgr.exe
3800 C:\Programme\Mozilla Firefox\firefox.exe
2132 wmiprvse.exe
1028 C:\Dokumente und Einstellungen\Der kleine Wolf\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP0802N, Rev: TK200-04

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Gute Nacht, erstmal.

Alt 05.06.2011, 13:06   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.06.2011, 06:02   #13
Crackspread
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Guten Morgen,

hier die Logs von Malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6776

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.06.2011 00:33:02
mbam-log-2011-06-06 (00-33-02).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 296726
Time elapsed: 3 hour(s), 23 minute(s), 4 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


_________________________________________
und von SuperAntiSpyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/06/2011 at 05:18 AM

Application Version : 4.53.1000

Core Rules Database Version : 7205
Trace Rules Database Version: 5017

Scan type : Complete Scan
Total Scan Time : 04:21:25

Memory items scanned : 467
Memory threats detected : 0
Registry items scanned : 7010
Registry threats detected : 0
File items scanned : 137210
File threats detected : 21

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Der kleine Wolf\Cookies\der kleine wolf@komtrack[2].txt
C:\Dokumente und Einstellungen\Der kleine Wolf\Cookies\der_kleine_wolf@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Der kleine Wolf\Cookies\der kleine wolf@717271728474897[1].txt
C:\Dokumente und Einstellungen\Der kleine Wolf\Cookies\der_kleine_wolf@interclick[1].txt
ad.de.doubleclick.net [ C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\VP5LL4LT ]
atdmt.com [ C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\VP5LL4LT ]
cdn5.specificclick.net [ C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\VP5LL4LT ]
imagesrv.adition.com [ C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\VP5LL4LT ]
m1.emea.2mdn.net [ C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\VP5LL4LT ]
media.zoomoviewer.com [ C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\VP5LL4LT ]
mediadb.kicker.de [ C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\VP5LL4LT ]
oddcast.com [ C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\VP5LL4LT ]
spe.atdmt.com [ C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\VP5LL4LT ]
www.adservercentral.info [ C:\Dokumente und Einstellungen\Der kleine Wolf\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\VP5LL4LT ]
ad.de.doubleclick.net [ C:\Dokumente und Einstellungen\Magnum\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\WFZQASN9 ]
ads.targetnet.com [ C:\Dokumente und Einstellungen\Magnum\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\WFZQASN9 ]
adserver.new-directions.de [ C:\Dokumente und Einstellungen\Magnum\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\WFZQASN9 ]
aka-cdn-ns.adtech.de [ C:\Dokumente und Einstellungen\Magnum\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\WFZQASN9 ]
broadcast.piximedia.fr [ C:\Dokumente und Einstellungen\Magnum\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\WFZQASN9 ]
cdn1.eyewonder.com [ C:\Dokumente und Einstellungen\Magnum\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\WFZQASN9 ]
cdn4.specificclick.net [ C:\Dokumente und Einstellungen\Magnum\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\WFZQASN9 ]


Ergebnis ESET Online Scanner folgt gleich...

Alt 06.06.2011, 18:04   #14
Crackspread
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Tja, das ging dann leider doch nicht so schnell, die Arbeit kam dazwischen.

Hier das ESET - Log:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=c32ecd9b80ba7e419f18482ce059f5bb
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-06 09:00:57
# local_time=2011-06-06 11:00:57 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775129 100 100 174037 82233881 217606 0
# compatibility_mode=3073 16777214 0 7 170970 170973 0 0
# compatibility_mode=8192 67108863 100 0 292 292 0 0
# compatibility_mode=9730 16764926 0 4 109505814 109505814 0 0
# scanned=137169
# found=0
# cleaned=0
# scan_time=13548

Alt 06.06.2011, 19:05   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"PUM.Disabled.SecurityCenter" Registry infiziert - Standard

"PUM.Disabled.SecurityCenter" Registry infiziert



Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu "PUM.Disabled.SecurityCenter" Registry infiziert
0x00000001, aufrufe, avira, bho, c:\windows\system32\rundll32.exe, canon, crypto, desktop, einstellungen, error, fehler, firefox, format, google, home, homepage, internet, karte, mozilla, oldtimer, plug-in, realtek, registry, registry cleaner, routine, rundll, safer networking, scan, searchplugins, security, security update, software, start von windows, stick, tcp, trojaner, udp, unerwarteter fehler, windows internet, wiso




Ähnliche Themen: "PUM.Disabled.SecurityCenter" Registry infiziert


  1. PUM.Disabled.SecurityCenter
    Log-Analyse und Auswertung - 19.07.2015 (5)
  2. PUM.Disabled.Securitycenter & Trojan BHO
    Plagegeister aller Art und deren Bekämpfung - 23.07.2013 (12)
  3. PUM.Disabled.SecurityCenter
    Log-Analyse und Auswertung - 13.01.2013 (10)
  4. PUM.Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 05.12.2012 (1)
  5. PUM.Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 23.11.2012 (4)
  6. PUM.Disabled.SecurityCenter gefunden
    Plagegeister aller Art und deren Bekämpfung - 08.11.2012 (17)
  7. Google Chrome startet nicht - "Pum.disabled.Security Center" gefunden
    Log-Analyse und Auswertung - 04.11.2012 (4)
  8. Trojaner PUM.Disabled.SecurityCenter
    Log-Analyse und Auswertung - 17.10.2012 (35)
  9. Logfiles nach pum disabled securitycentervirus "Entfernung"
    Log-Analyse und Auswertung - 14.10.2012 (3)
  10. Mein Rechner ist infiziert mit PUM.Disabled.SecurityCenter, brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (51)
  11. PUM.Disabled.SecurityCenter entdeckt
    Log-Analyse und Auswertung - 11.09.2012 (1)
  12. SecurityCenter: " Achtung! Ihr Computer wurde gesperrt wg Nicht lizensierter Software..."
    Log-Analyse und Auswertung - 12.02.2012 (15)
  13. PUM.Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 11.07.2011 (2)
  14. mit "PUM.Disabled.SecurityCenter" infiziert!
    Plagegeister aller Art und deren Bekämpfung - 20.03.2011 (1)
  15. PUM.Disabled.SecurityCenter // PC infiziert?
    Plagegeister aller Art und deren Bekämpfung - 24.02.2011 (6)
  16. mein PC ist mit paar Trojanern infiziert - Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 06.07.2010 (1)
  17. Disabled.securityCenter
    Plagegeister aller Art und deren Bekämpfung - 09.06.2009 (1)

Zum Thema "PUM.Disabled.SecurityCenter" Registry infiziert - Hallo Trojaner - Board! Gestern habe ich meinen Rechner einem vollen Scan mit Malwarebytes unterzogen und drei Funde mit dem obigen Titel erhalten. Habe dann ein bisschen im Internet geforscht - "PUM.Disabled.SecurityCenter" Registry infiziert...
Archiv
Du betrachtest: "PUM.Disabled.SecurityCenter" Registry infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.