XP Internet Security
 

Zum Problem: Ein Pop-up Fenster erscheint immer mit der Aufschrift "XP Internet Security". Internet Explorer kann ich gar nicht nutzen, da irgendeine Warnmeldung von "XP Internet Security" kommt und Firefox kann ich auch nur im abgesicherten Modus nutzen. Ich muss in 3 Tagen meine Dissertation abgeben und bräuchte dringend Hilfe.

CCleaner wurde erfolgreich ausgeführt. Malewarebyters Anti-Malware lässt sich nicht starten.

Mein info.txt

info.txt logfile of random's system information tool 1.06 2010-02-04 02:59:30

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->MsiExec.exe /X{DEBEA68F-45AA-4707-A9A7-DBD6DB4FBE89}
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DD4F051C-1A2B-4A91-B187-B093C597418C}\setup.exe" -l0x7 anything
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
ANYCOM Bluetooth Software-->MsiExec.exe /X{84814E6B-2581-46EC-926A-823BD1C670F6}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Arturia Minimoog V v1.0-->C:\PROGRA~1\Arturia\MINIMO~1\UNWISE.EXE C:\PROGRA~1\Arturia\MINIMO~1\INSTALL.LOG
ASIO4ALL-->C:\Programme\ASIO4ALL v2\uninstall.exe
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Systemsteuerung-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
avast! Antivirus-->C:\Programme\Alwil Software\Avast4\aswRunDll.exe "C:\Programme\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
Cool Edit Pro 2.1-->C:\Programme\coolpro2\cep2unin.exe
Edirol HQ Orchestral VSTi v1.03-->C:\PROGRA~1\EDIROL\ORCHES~1.03\UNWISE.EXE C:\PROGRA~1\EDIROL\ORCHES~1.03\INSTALL.LOG
Effectrix-->C:\PROGRA~1\SUGARB~1\EFFECT~1\UNWISE.EXE C:\PROGRA~1\SUGARB~1\EFFECT~1\INSTALL.LOG
Firewire Family-->C:\Programme\InstallShield Installation Information\{D9CF5E60-42B1-489B-A0E2-9A6EE3DEB969}\setup.exe -runfromtemp -l0x0009 -removeonly
FL Studio 8-->C:\Programme\Image-Line\FL Studio 8\uninstall.exe
Flux:: Stereo Tool-->MsiExec.exe /I{E05C17CC-71AB-49EE-8E3F-60AD24DCFDC7}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
hp psc 700 series-->C:\WINDOWS\system32\hpocon09.exe /u 1215520703 /d "hp psc 700 series"
IL Download Manager-->C:\Programme\Image-Line\Downloader\uninstall.exe
Intel(R) PROSet/Wireless Software-->C:\WINDOWS\Installer\iProInst.exe
iTunes-->MsiExec.exe /I{C26B06A9-27BB-45B0-9873-9C623EC2BA38}
J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
Java(TM) 6 Update 14-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Korg Legacy Collection VSTi v1.0.02-->C:\PROGRA~1\IMAGE-~1\FLSTUD~1\Plugins\VST\LEGACY~1\UNWISE.EXE C:\PROGRA~1\IMAGE-~1\FLSTUD~1\Plugins\VST\LEGACY~1\INSTALL.LOG
L&H TTS3000 British English-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSENG.inf, Uninstall
L&H TTS3000 Deutsch-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSGED.inf, Uninstall
L&H TTS3000 Français-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\LHTTSFRF.inf, Uninstall
Lernout & Hauspie TruVoice American English TTS Engine-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\tv_enua.inf, Uninstall
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
mDriver-->MsiExec.exe /I{28DA872A-0848-48CF-B749-19A198157A2A}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Text-to-Speech Engine 4.0 (English)-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\msTTS.inf, Uninstall
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Mozilla Firefox (3.0.17)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Native Instruments GuitarRig 2.01 RTAS VSTi DXi-->C:\PROGRA~1\NATIVE~1\GUITAR~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\GUITAR~1\INSTALL.LOG
Native Instruments Massive-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C2686527-0D57-4F0B-ADAB-EE203CA30FC6}\Massive Setup.exe" REMOVE=TRUE MODIFY=FALSE
Native Instruments Massive-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C2686527-0D57-4F0B-ADAB-EE203CA30FC6}\Massive Setup.exe
Native Instruments Service Center-->"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A397AF63-B3A1-40DF-AA85-5C5368304B60}\Service Center Setup.exe" REMOVE=TRUE MODIFY=FALSE
Native Instruments Service Center-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A397AF63-B3A1-40DF-AA85-5C5368304B60}\Service Center Setup.exe
Native Instruments Traktor-->C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{9AD1314E-A036-4788-8511-90C43785235C}\Traktor Setup.exe
Nero OEM-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
OpenOffice.org 2.4-->MsiExec.exe /I{CCD90636-D97D-4130-A44A-3AD4E63B9220}
PoiZone-->C:\Programme\Image-Line\PoiZone\uninstall.exe
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Samsung Battery Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6F730513-8688-4C3C-90A3-6B9792CE2EF3}\Setup.exe" -l0x9 Remove
SAMSUNG Mobile Composite Device Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\6\SSBCUninstall.exe
SAMSUNG Mobile Modem Driver Set-->C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
Samsung Mobile phone USB driver Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
SamsungConnectivityCableDriver-->MsiExec.exe /X{7E84FAC8-C518-40F9-9807-7455301D6D25}
Scratch Live 1.9.1 (19127)-->MsiExec.exe /I{3E68785D-CD4D-485D-A6A3-8EB93DC3B3C2}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Service Center Setup-->MsiExec.exe /I{F7BE399C-3D88-420D-86BC-F3D75203B70E}
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974455)-->"C:\WINDOWS\$NtUninstallKB974455$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB976325)-->"C:\WINDOWS\$NtUninstallKB976325$\spuninst\spuninst.exe"
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\setup.exe" -l0x7 -removeonly
Steinberg Dcota v1.0-->C:\PROGRA~1\VSTPLU~1\D'cota\UNWISE.EXE C:\PROGRA~1\VSTPLU~1\D'cota\INSTALL.LOG
Steinberg Hypersonic 2-->C:\Programme\VstPlugins\Hypersonic\unins000.exe
Stillwell Audio Plugins Bundle VST v1.52-->C:\PROGRA~1\VSTPLU~1\STILLW~1\UNINST~1\UNWISE.EXE C:\PROGRA~1\VSTPLU~1\STILLW~1\UNINST~1\INSTALL.LOG
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
SyncroSoft Emu (Remove only)-->C:\Programme\SyncroSoft\Pos\H2O\Uninst.exe
Syncrosofts Lizenz Kontrolle-->C:\PROGRA~1\SYNCRO~1\UNWISE.EXE C:\PROGRA~1\SYNCRO~1\INSTALL.LOG
TextToWav 1.5 beta-->"C:\Programme\TextToWav\unins000.exe"
Toxic Biohazard-->C:\Programme\Image-Line\Toxic Biohazard\uninstall.exe
Unique-->C:\PROGRA~1\SUGARB~1\Unique\UNWISE.EXE C:\PROGRA~1\SUGARB~1\Unique\INSTALL.LOG
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe"
Update für Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Update für Windows XP (KB976749)-->"C:\WINDOWS\$NtUninstallKB976749$\spuninst\spuninst.exe"
Update für Windows XP (KB978207)-->"C:\WINDOWS\$NtUninstallKB978207$\spuninst\spuninst.exe"
Veetle TV 0.9.15-->C:\Programme\Veetle\UninstallVeetleTV.exe
VideoLAN VLC media player 0.8.6c-->C:\Programme\VideoLAN\VLC\uninstall.exe
VideoSL-->MsiExec.exe /I{01F67963-9EB0-4D0F-9523-0B68FA473462}
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{52B97218-98CB-4B8B-9283-D213C85E1AA4}
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Programme\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}
Windows Live Messenger-->MsiExec.exe /X{41E654A9-26D0-4EAC-854B-0FA824FFFABB}
Windows Live OneCare safety scanner-->RunDll32.exe "C:\Programme\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows Live-Uploadtool-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
WOW XT and TSXT Filter Driver-->MsiExec.exe /X{AAB9478F-DE6B-498B-9420-21E1F1AC700D}

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: Malware Defense (outdated)
AV: avast! antivirus 4.8.1368 [VPS 100203-1]

======System event log======

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet.

Record Number: 82560
Source Name: Service Control Manager
Time Written: 20100108011838.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "iPod-Dienst" gesendet.

Record Number: 82559
Source Name: Service Control Manager
Time Written: 20100108011838.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "IMAPI-CD-Brenn-COM-Dienste" gesendet.

Record Number: 82558
Source Name: Service Control Manager
Time Written: 20100108011838.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 7036
Message: Dienst "avast! Web Scanner" befindet sich jetzt im Status "Ausgeführt".

Record Number: 82557
Source Name: Service Control Manager
Time Written: 20100108011837.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "avast! Web Scanner" gesendet.

Record Number: 82556
Source Name: Service Control Manager
Time Written: 20100108011837.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: ***
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 5381
Source Name: SecurityCenter
Time Written: 20090328015301.000000+060
Event Type: Informationen
User:

Computer Name: ***
Event Code: 4113
Message:
Record Number: 5380
Source Name: Avira AntiVir
Time Written: 20090327154405.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 4113
Message:
Record Number: 5379
Source Name: Avira AntiVir
Time Written: 20090327154222.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 4113
Message:
Record Number: 5378
Source Name: Avira AntiVir
Time Written: 20090327153530.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

Computer Name: ***
Event Code: 4113
Message:
Record Number: 5377
Source Name: Avira AntiVir
Time Written: 20090327150721.000000+060
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\QuickTime\QTSystem;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 8, GenuineIntel
"PROCESSOR_REVISION"=0d08
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Logfile of random's system information tool 1.06 (written by random/random)
Run by *** at 2010-02-04 02:59:25
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 7 GB (10%) free of 69 GB
Total RAM: 1022 MB (65% free)


======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-05-21 41368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-05-21 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{3041d03e-fd4b-44e0-b742-2d9b88305f98}

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe [2005-02-02 102492]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2005-02-02 692316]
"MAFWTaskbarApp"=C:\WINDOWS\system32\MAFWTray.exe [2007-10-24 245760]
"H2O"=C:\Programme\SyncroSoft\Pos\H2O\cledx.exe [2005-12-18 307200]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-11-29 185872]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-03-12 342312]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-05-26 413696]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-05-21 148888]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-11-25 81000]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"=C:\Programme\DNA\btdna.exe [2009-11-07 323392]
"msnmsgr"=C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-06-28 344064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BatteryManager]
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe [2005-08-18 1933312]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe [2009-03-12 342312]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe [2004-07-27 1388544]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre6\bin\jusched.exe [2009-05-21 148888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2008-11-29 185872]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OpenOffice.org 2.4.lnk]
C:\PROGRA~1\OPENOF~1.4\program\QUICKS~1.EXE [2008-01-21 393216]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
BTTray.lnk - C:\Programme\ANYCOM\Bluetooth-USB\BTTray.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-06-28 46080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\DNA\btdna.exe"="C:\Programme\DNA\btdna.exe:*:Enabled:DNA"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Zattoo\zattood.exe"="C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood"
"C:\Programme\Zattoo\Zattoo2.exe"="C:\Programme\Zattoo\Zattoo2.exe:*:Enabled: "
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe"="C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server"
"C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe"="C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server"
"C:\Programme\uusee\UUSeePlayer.exe"="C:\Programme\uusee\UUSeePlayer.exe:*:Enabled:UUPlayer"
"C:\Programme\Gemeinsame Dateien\uusee\UUSeeMediaCenter.exe"="C:\Programme\Gemeinsame Dateien\uusee\UUSeeMediaCenter.exe:*:Enabled:MediaCenter"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Dokumente und Einstellungen\***\Desktop\MySpaceMp3Gopher\MySpaceMp3Gopher.exe"="C:\Dokumente und Einstellungen\***\Desktop\MySpaceMp3Gopher\MySpaceMp3Gopher.exe:*:Enabled:MySpace Mp3 Gopher Application"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07b1d152-6a3d-11dd-8498-0000f07b5b1a}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe killVBS.vbs


======File associations======

.exe - open - "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe" /START "%1" %*

======List of files/folders created in the last 1 months======

2010-02-04 02:59:25 ----D---- C:\rsit
2010-01-30 14:45:50 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DAEMON Tools Pro
2010-01-30 14:45:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2010-01-30 14:39:05 ----A---- C:\WINDOWS\system32\ztvunrar36.dll
2010-01-30 14:39:05 ----A---- C:\WINDOWS\system32\ztvunace26.dll
2010-01-30 14:39:05 ----A---- C:\WINDOWS\system32\ztvcabinet.dll
2010-01-30 04:44:15 ----D---- C:\Programme\Way Out Ware
2010-01-28 03:44:33 ----D---- C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2010-01-23 16:34:12 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C2686527-0D57-4F0B-ADAB-EE203CA30FC6}
2010-01-23 16:33:08 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A397AF63-B3A1-40DF-AA85-5C5368304B60}
2010-01-23 03:01:31 ----HDC---- C:\WINDOWS\$NtUninstallKB978207$
2010-01-14 03:05:38 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-01-14 03:05:15 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$
2010-01-13 15:58:39 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-13 15:10:57 ----A---- C:\WINDOWS\system32\aswBoot.exe
2010-01-13 04:05:03 ----D---- C:\Programme\Enigma Software Group
2010-01-13 03:43:59 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini

======List of files/folders modified in the last 1 months======

2010-02-04 02:59:28 ----D---- C:\Programme\Trend Micro
2010-02-04 02:57:14 ----D---- C:\Programme\Mozilla Firefox
2010-02-04 02:57:07 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DNA
2010-02-04 02:51:36 ----D---- C:\WINDOWS\Minidump
2010-02-04 02:51:36 ----D---- C:\WINDOWS\Debug
2010-02-04 02:51:36 ----D---- C:\WINDOWS
2010-02-04 02:51:33 ----D---- C:\WINDOWS\Temp
2010-02-04 02:45:17 ----D---- C:\WINDOWS\Prefetch
2010-02-04 02:19:41 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-04 02:17:03 ----D---- C:\Programme\DNA
2010-02-04 02:15:51 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-02-03 03:13:00 ----D---- C:\WINDOWS\system32
2010-02-03 03:13:00 ----A---- C:\WINDOWS\system32\ssprs.dll
2010-02-03 03:12:59 ----A---- C:\WINDOWS\system32\lsprst7.dll
2010-02-03 01:40:44 ----A---- C:\WINDOWS\win.ini
2010-02-03 01:40:44 ----A---- C:\WINDOWS\system.ini
2010-01-31 19:59:01 ----A---- C:\WINDOWS\NeroDigital.ini
2010-01-31 15:43:38 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2010-01-31 15:25:53 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-01-30 15:26:16 ----SHD---- C:\WINDOWS\Installer
2010-01-30 15:26:15 ----D---- C:\Programme\VstPlugins
2010-01-30 15:26:15 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-30 15:26:15 ----D---- C:\Programme
2010-01-30 15:22:10 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\KORG
2010-01-30 15:18:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KORG
2010-01-30 14:49:02 ----HD---- C:\WINDOWS\inf
2010-01-30 14:46:25 ----D---- C:\WINDOWS\system32\drivers
2010-01-30 04:47:44 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PACE Anti-Piracy
2010-01-30 04:47:44 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2010-01-30 04:47:44 ----AHD---- C:\Programme\WindowsUpdate
2010-01-30 04:47:44 ----AHD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-01-30 04:43:07 ----D---- C:\WINDOWS\Downloaded Installations
2010-01-29 03:01:41 ----D---- C:\WINDOWS\WinSxS
2010-01-28 03:48:41 ----D---- C:\Programme\Common Files
2010-01-28 03:44:39 ----AHD---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-01-23 16:33:02 ----D---- C:\Programme\Native Instruments
2010-01-23 16:33:02 ----D---- C:\Programme\Gemeinsame Dateien\Native Instruments
2010-01-23 03:01:40 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-01-22 13:38:25 ----HD---- C:\WINDOWS\$hf_mig$
2010-01-15 17:43:31 ----RASH---- C:\boot.ini
2010-01-14 12:50:46 ----D---- C:\WINDOWS\AppPatch
2010-01-13 04:11:55 ----D---- C:\Temp
2010-01-05 01:17:46 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-11-25 27408]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-11-25 114768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-11-25 48560]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R2 Aspi32;Aspi32; C:\WINDOWS\System32\drivers\aspi32.sys [2007-09-17 16512]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-11-25 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-11-25 94160]
R2 DOSMEMIO;MEMIO; \??\C:\WINDOWS\system32\MEMIO.SYS []
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2004-05-17 133200]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-11-25 23120]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-06-28 1241088]
R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys [2004-05-26 44928]
R3 BTDriver;Virtueller Bluetooth-Kommunikationstreiber; C:\WINDOWS\system32\DRIVERS\btport.sys [2008-02-04 37160]
R3 BTKRNL;Bluetooth-Bus-Enumerator; C:\WINDOWS\system32\DRIVERS\btkrnl.sys [2008-06-24 991400]
R3 CLEDX;Team H2O CLEDX service; C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 33792]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2009-01-15 23848]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2004-09-01 259648]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2005-02-02 191456]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 wowfilter;WOW XT Filter Driver; C:\WINDOWS\system32\drivers\wowfilter.sys [2005-06-08 17792]
S1 14cf17dc;14cf17dc; C:\WINDOWS\System32\drivers\14cf17dc.sys []
S1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
S2 Nsynas32;Nsynas32; C:\WINDOWS\system32\drivers\Nsynas32.sys []
S3 a8djavs;a8djavs; C:\WINDOWS\System32\Drivers\a8djavs.sys []
S3 a8djusb;a8djusb; C:\WINDOWS\System32\Drivers\a8djusb.sys []
S3 btaudio;Bluetooth-Audiogerät; C:\WINDOWS\system32\drivers\btaudio.sys [2008-05-30 534568]
S3 BTWDNDIS;Bluetooth-LAN-Zugangsserver; C:\WINDOWS\system32\DRIVERS\btwdndis.sys [2007-09-20 156392]
S3 btwhid;btwhid; C:\WINDOWS\system32\DRIVERS\btwhid.sys [2008-03-10 57384]
S3 btwmodem;Bluetooth-Modem; C:\WINDOWS\system32\DRIVERS\btwmodem.sys [2008-02-04 37032]
S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2008-06-11 47272]
S3 dot4;MS IEEE-1284.4-Treiber; C:\WINDOWS\system32\DRIVERS\Dot4.sys [2008-04-13 206976]
S3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Prt.sys [2001-08-17 12928]
S3 Dot4Scan;Scannerklassentreiber für IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Scan.sys [2001-08-17 8704]
S3 dot4usb;Dot4USB-Filter Dot4USB Filter; C:\WINDOWS\system32\DRIVERS\dot4usb.sys [2001-08-18 23936]
S3 FsUsbExDisk;FsUsbExDisk; \??\C:\WINDOWS\system32\FsUsbExDisk.SYS []
S3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 MAFW;MAFW; C:\WINDOWS\system32\DRIVERS\mafw.sys [2007-10-24 186368]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys []
S3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2008-04-13 79232]
S3 SeratoUsb;SeratoUsb driver; C:\WINDOWS\System32\Drivers\SeratoUsb.sys [2006-03-16 35712]
S3 StMp3Rec;Treiber für Player-Wiederherstellungsgerät; C:\WINDOWS\System32\Drivers\StMp3Rec.sys []
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2005-04-30 3281408]
S3 WinDriver6;WinDriver6; C:\WINDOWS\system32\drivers\windrvr6.sys []
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Alwil Software\Avast4\aswUpdSv.exe [2009-11-25 18752]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-06-28 376832]
R2 avast! Antivirus;avast! Antivirus; C:\Programme\Alwil Software\Avast4\ashServ.exe [2009-11-25 138680]
R2 btwdins;Bluetooth Service; C:\Programme\ANYCOM\Bluetooth-USB\bin\btwdins.exe [2008-07-07 346720]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-05-21 152984]
R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Alwil Software\Avast4\ashMaiSv.exe [2009-11-25 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Alwil Software\Avast4\ashWebSv.exe [2009-11-25 352920]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-03-12 656168]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 05:09:01, on 04.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ANYCOM\Bluetooth-USB\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\MAFWTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\ANYCOM\Bluetooth-USB\BTTray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\MAFWTray.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Bluetooth-USB\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ANYCOM\Bluetooth-USB\btsendto_ie.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Bluetooth-USB\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Bluetooth-USB\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - h**p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EAEA797-CF14-448B-BE63-8EA75B37CEFC}: NameServer = 192.168.2.1
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Bluetooth-USB\bin\btwdins.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6718 bytes

Hi,

da sind noch Rest einer Infektion zu sehen (killVBS.vbs)...
Achtung: Wird der Facscanner entfernt, wirst Du keine Exe mehr ausführen können, da er sich in der "EXE-Open-Anweisung" verewigt hat:
Wir probieren Ihn erstmal hierüber auszubremsen:
Kopiere die regedit.exe auf regedit.com, benenne dann die regedit.exe auf regeditor.exe um und führe dann folgendes aus:

Kille als erstes über den Taskmanager die av.exe falls sichtbar, dann

Open-command für exe zurücksetzen
Speichere den nachfolgenden Text über den Editor (Start->Ausführen notepad)
auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT").
Prüfe über den Taskmanager ob die av.exe wieder läuft, dann abschießen!
Dann mit Doppelklick auf die Datei ausführen, Abfrage abnicken!
Danach bitte das hier:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Achtung: Ersetzte die "***" durch den richtigen Pfad im Script!
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Falls keine EXEn mehr ausführbar sind, lief das Teil noch, dann noch mal das Reg.-Script abfackeln!

Danach:
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Fullscan und alles bereinigen lassen! Log posten.

Falls MAM den Mountpoint nicht bereinigt, werden wir den per Hand wegschiessen...

chris

Verstehe nicht was du mit "kopiere die regedit.exe auf regedit.com" meinst? Soll ich sie mir von der Seite runterladen? Habe die Datei auf jeden Fall in regeditor.exe umbenannt. XP Internet Security sehe ich zwar im Taskmanager kann ich aber nicht ausschalten. Nach Durchlauf von Avenger kann ich Malwarebytes immer noch nicht ausführen und "XP Internet Security" geistert immer noch rum. Und was ist mit Reg.-Script abfackeln gemeint?

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe"
Deletion of file "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name

File "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hi,

so wird das nichts...
Hast Du die "***" durch den richtigen Pfad im Script ersetzte?
Bitte das Script entsprechend ändern und Avenger noch mal durchführen!

Gehe mittels Explorer in das Windowsverzeichnis (üblicherweise C:\windows),
dort findest Du die regedit.exe mit der wie beschrieben verfahren!

Den in die "CodeTags" eingeschlossenen Text in den Texteditor kopieren und dann wei im Post beschrieben verfahren (mit abfackeln ist dann das Ausführen der SetExe.reg durch doppelklick gemeint).

chris

Sorry, hab in der Aufregung vergessen den richtigen Pfad einzutragen. So, hab jetzt nochmal Avenger durchlaufen lassen und besagtes Problem ist aufgetreten. Keine .exe Dateien lassen sich mehr öffnen. Ausführen der SetExe.reg hat auch nichts verändert.


Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe" deleted successfully.

Error: file "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini" not found!
Deletion of file "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Hi,

wie sieht es aus, was macht MAM und hat das zurückbiegen der Reg.-Einträge geklappt?

chris

Vielleicht bin ich zu blöd aber wie gesagt ich kann jetzt keine .exe Dateien öffnen; also auch keine MAM. In WINDOWS habe ich jetzt nach deiner Anleitung jetzt eine regeditor.exe und eine regedit.exe Datei.

Hi,

so und jetzt nenne bitte die Datei regedit.exe auf regedit.com um...
Start den Editor (Start->Ausführen notepad) und kopiere folgenden Text rein:
Speichere den Text jetzt auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT").

Danach bitte ein Doppelklick auf die soeben gespeicherte SetExe.reg, es sollte eine Sicherheitsabfrage kommen (... wollen sie zusammenführen... -> ja). Danach neu booten! Läuft alles richtig, müssen sich exe-Dateien wieder starten lassen!

chris

Bin deinen Anweisungen gefolgt. Jedes mal wenn ich eine .exe starten möchte, öffnet sich ein Windows Fenster, dass mich auffordert ein Programm auszuwählen, um diese zu öffnen.
Im WINDOWS Ordner habe ich nun eine regedit.exe, eine regedit.com und eine regeditor.exe. Was nun?

Hi,

okay, dann weiter wie folgt:
Speichere den nachfolgenden Text über den Editor (Start->Ausführen notepad) auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT").
Bekommst Du den Editor so nicht auf, dann Start->Ausführen cmd.exe in das aufgehende Fenster dann notepad reinschreiben!
Dann mit Doppelklick auf die Datei, es kommt eine Abfrage ("...zusammenführen....") das abnicken!
Prüfe dann ob Du z. B. den Editor (Start->Programme->Zubehör->Editor) ausführen kannst!

chris

Nein, leider kann ich den Editor danach nur öffnen wenn ich im "Öffnen mit"-Fenster auf Editor klicke. Anders geht's nicht. Nach doppelklicken von SetExe.reg steht übrigens nichts von "zusammenführen" sondenr nur, ob die Datei in die Registrierung hinzugefügt werden soll.

Hi,

ja, das bitte abnicken und durchführen lassen. Danach sollten EXEn wieder startfähig sein, mit dem
Editor ausprobieren!

Lässt sich nun MAM starten?

chris

Wie gesagt, habs abgenickt und danach ging weder Editor noch irgendeine andere .exe.

Hi,

poste bitte mal den Inhalt der setexe.reg-Datei...

chris

Hab gegoogelt und mein WINDOWS-Ordner durchsucht. Wo finde ich die exereg.reg-Datei?

Hi,

ich meine die erstellte Datei, in die Du den Inhalt der codebox kopierst hast...

Alternativ:
Du kannst auch diese Datei heruterladen (unhookexec.inf)
http://www.mediafire.com/?9zu4hvgey11
Auf den Desktop speichern und dann mit rechte Maustaste/installieren waehlen.
Rechner neu booten.

chris

Das ist der Inhalt der SetExe.reg-Datei. Die UnHookExec.inf-Datei kann ich leider auch nicht installieren, da er mich auch hier fragt, mit welchem Programm ich die Datei öffnen soll.


REGEDIT4

[HKEY_CLASSES_ROOT\exefile]
"EditFlags"=hex:d8,07,00,00
@="Anwendung"

[HKEY_CLASSES_ROOT\exefile\shell]
@=""

[HKEY_CLASSES_ROOT\exefile\shell\open]
@=""
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}]
@=""

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

Hi,

bisher hat das immer mit der Reg-Datei funktioniert...

Starten Sie den Explorer und suchen Sie unter -> "Extras" -> "Optionen" -> "Dateitypen" den Typ "Setup-Informationen" bzw. "INF-Datei".

Klicken Sie auf "Erweitert" und prüfen Sie, ob unter "Aktionen" "Installieren" steht. Wenn nicht, klicken Sie auf -> "Neu". Geben Sie folgendes ein:

unter "Vorgang": &Installieren
unter "Anwendung für diesen Vorgang"
chris
Muss jetzt leider weg, melde mich gegen später heute abend wieder...
Lass uns mal in der Reg nachsehen:
Start->Ausführen cmd
In dem dann erscheinenden schwarzen Fenster folgendes eingeben (mit der maus hier abkopieren, in das schware Fenster mit der rechten Maustaste reinklicken und "einfügen")...

In der Setup Information war alles schon eingetragen. Hab trotzdem nochmal alles reinkopiert und versucht die Datei zu installieren. Sie lässt sich zwar öffnen aber beim Versuch sie "Rechtsklick -> Installieren" kommt die Fehlermeldung:


C:\Dokumente und Einstellungen\***\Desktop\UnHookExec.inf

Zugriff verweigert


Nach Neustart lässt sich weder Editor noch irgendeine andere .exe-Datei automatisch öffnen.

Hi,

hast du Adminrechte oder versuchst Du das fixen im abgesicherten Modus?
Hast Du einen sauberen Rechner zur Erstellung einer Boot-CD zur Verfügung (und gibt es eine XP-Boot-CD)?

Hast Du probiert das hier auszuführen?
Start->Ausführen cmd
In dem dann erscheinenden schwarzen Fenster folgendes eingeben (mit der maus hier abkopieren, in das schware Fenster mit der rechten Maustaste reinklicken und "einfügen")...
Poste dann den Inhalt der test.txt...

chris

Ich bin nicht im abgesicherten Modus. Ich habe eine System-Wiederherstellungs-CD. Ich möchte im Moment aber auf keinen Fall Windows neuinstallieren.

Hi,

hast Du Adminrechte? Die Meldungen lassen den Schluß zu: nein...
Führe mal bitte das reg-Script (s. letztes Post) an...

chris

Wenn ich cmd eingebe erscheint wieder das "Öffnen mit" Fenster :(

wie sieht es mit den Adminrechten aus?
chris

Sorry, ich bin absolute Nichtkennerin. Wie kann ich feststellen, ob ich welche habe?

dazu wäre wieder eine Ausführung notwendig...

Zugriffs-Berechtigung prüfen:
Start->Ausführen->control userpasswords2

da solltest du dann angezeigt werden mit deiner gruppenzugehörigkeit (admin oder nutzer)...

chris

Wieder das "Öffnen mit"-Fenster. Langsam werd ich panisch...

Hi,

eigentlich müssten andere dateien (*.bat und *.com) funktionieren, da ist etwas gewaltig zerlegt worden in der Registry...

chris

Und nun? Kann ich es nicht wenigstens so hinbekommen, dass die .exe wiederlaufen. Ich kann schon ganzen Tag nichts machen...

Hi,

das sollte eigentlich die Reg-Scripte und/oder die infdatei sicherstellen, in dem sie die Standardverknüpfungen wiederherstellen. Dazu scheinen aber die Rechte zu fehlen... Was für ein Rechner ist das, gehört der zur uni in einem netzwerk?

Kann die Meldung "zugriff verweigert" von Avast kommen? Den dann mal abschalten und probieren...

Sonst bliebe nur eine Reperaturinstallation... Hast Du ein Backup Deiner Arbeit?

chris

Kein Avast, kein Uni-Netzwerk. Ist ein Samsung Laptop. Das kann doch nicht sein. Ich hab soviel wichtiges auf dem Rechner. Gibts echt keine andere Lösung?

Hi,

lass mich noch mal überlegen (langsam wird der Akku vom Notebook schlapp).

Wenn Du auf das RegEdit-Script Doppelklickst, kommt keine "Zugriff verweigert" Meldung, er führt die Einträge zusammen. Die Regedit.exe haben wir auf Regedit.com umbenannt, d.h. com-dateien müssten laufen. Kopier mal die notepad.exe auf notepad.com um und versuche die notepad.com zu starten.

Dann könnten wir z.B. mit OTL weiter machen und ein neues Log erstellen lassen (so ist das jetzt alles stochern im Nebel)...

Kannst du Dir Unterstützung besorgen? Wir können auch eine RettungsCD auf einem sauberen Rechner erstellen, damit die Daten gesichert werden können...

chris

notepad.com datei lässt sich öffnen. Keine Ahnung was OTL ist aber vielleicht, weisst du ja wie es weiter geht.

Hi,

es ist als tatsächlich der Exe-Eintrag in der Reg der falsch ist. Gut.
Kannst Du die regedit.com aufrufen?
Starte sie und importiere die angehängte Datei.
Naviegiere dann zum Schlüssel
und prüfe dann ob das hier steht:
@="%1" %*

chris

Hi,

der Akku von meinem Notebook ist fertig...
Für morgen bitte das hier vorbereiten (die Logs). Nenne die OTL.exe ebenfalls auf OTL.com um...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
* Nenne die OTL.exe auf OTL.com um
* Doppelklick auf die OTL.com
* Vista/Win7 User: Rechtsklick auf die OTL.com und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris

Also da steht nur

Name Typ Wert
(Standard) REG_SZ "%1"%*
IsolatedCommand REG_SZ "%1"%*

OTL.Txt


OTL logfile created on: 04.02.2010 22:02:00 - Run 1
OTL by OldTimer - Version 3.1.27.1 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 617,00 Mb Available Physical Memory | 60,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 67,27 Gb Total Space | 6,73 Gb Free Space | 10,01% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 27,95 Gb Total Space | 18,34 Gb Free Space | 65,60% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ***
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.com (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Alwil Software\Avast4\ashServ.exe (ALWIL Software)
PRC - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe (ALWIL Software)
PRC - C:\Programme\Alwil Software\Avast4\ashWebSv.exe (ALWIL Software)
PRC - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe (ALWIL Software)
PRC - C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\ANYCOM\Bluetooth-USB\bin\btwdins.exe (Broadcom Corporation.)
PRC - C:\WINDOWS\regedit.com (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\ati2evxx.exe (ATI Technologies Inc.)
PRC - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.com (OldTimer Tools)


========== Win32 Services (SafeList) ==========

SRV - (avast! Antivirus) -- C:\Programme\Alwil Software\Avast4\ashServ.exe (ALWIL Software)
SRV - (avast! Mail Scanner) -- C:\Programme\Alwil Software\Avast4\ashMaiSv.exe (ALWIL Software)
SRV - (avast! Web Scanner) -- C:\Programme\Alwil Software\Avast4\ashWebSv.exe (ALWIL Software)
SRV - (aswUpdSv) -- C:\Programme\Alwil Software\Avast4\aswUpdSv.exe (ALWIL Software)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.)
SRV - (iPod Service) -- C:\Programme\iPod\bin\iPodService.exe (Apple Inc.)
SRV - (btwdins) -- C:\Programme\ANYCOM\Bluetooth-USB\bin\btwdins.exe (Broadcom Corporation.)
SRV - (Ati HotKey Poller) -- C:\WINDOWS\system32\ati2evxx.exe (ATI Technologies Inc.)
SRV - (SoundMAX Agent Service (default)) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)


========== Driver Services (SafeList) ==========

DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (aswMon2) -- C:\WINDOWS\system32\drivers\aswmon2.sys (ALWIL Software)
DRV - (aswSP) -- C:\WINDOWS\system32\drivers\aswSP.sys (ALWIL Software)
DRV - (aswFsBlk) -- C:\WINDOWS\system32\drivers\aswFsBlk.sys (ALWIL Software)
DRV - (aswTdi) -- C:\WINDOWS\system32\drivers\aswTdi.sys (ALWIL Software)
DRV - (aswRdr) -- C:\WINDOWS\system32\drivers\aswRdr.sys (ALWIL Software)
DRV - (Aavmker4) -- C:\WINDOWS\system32\drivers\aavmker4.sys (ALWIL Software)
DRV - (FsUsbExDisk) -- C:\WINDOWS\system32\FsUsbExDisk.Sys ()
DRV - (GEARAspiWDM) -- C:\WINDOWS\system32\drivers\GEARAspiWDM.sys (GEAR Software Inc.)
DRV - (BTKRNL) -- C:\WINDOWS\system32\drivers\btkrnl.sys (Broadcom Corporation.)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (btaudio) -- C:\WINDOWS\system32\drivers\btaudio.sys (Broadcom Corporation.)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation)
DRV - (btwhid) -- C:\WINDOWS\system32\drivers\btwhid.sys (Broadcom Corporation.)
DRV - (BTDriver) -- C:\WINDOWS\system32\drivers\btport.sys (Broadcom Corporation.)
DRV - (btwmodem) -- C:\WINDOWS\system32\drivers\btwmodem.sys (Broadcom Corporation.)
DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (MAFW) -- C:\WINDOWS\system32\drivers\mafw.sys (Avid Technology, Inc.)
DRV - (BTWDNDIS) -- C:\WINDOWS\system32\drivers\btwdndis.sys (Broadcom Corporation.)
DRV - (Aspi32) -- C:\WINDOWS\system32\drivers\ASPI32.SYS (Adaptec)
DRV - (PxHelp20) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys (Sonic Solutions)
DRV - (SeratoUsb) -- C:\WINDOWS\system32\drivers\SeratoUsb.sys (Cristalink Ltd)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (wowfilter) -- C:\WINDOWS\system32\drivers\WOWFilter.sys ()
DRV - (CLEDX) -- C:\WINDOWS\system32\drivers\cledx.sys (Team H2O)
DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)
DRV - (risdptsk) -- C:\WINDOWS\system32\DRIVERS\risdptsk.sys (REDC)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (rimsptsk) -- C:\WINDOWS\system32\DRIVERS\rimsptsk.sys (REDC)
DRV - (rismxdp) -- C:\WINDOWS\system32\DRIVERS\rixdptsk.sys (REDC)
DRV - (smwdm) -- C:\WINDOWS\system32\drivers\smwdm.sys (Analog Devices, Inc.)
DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)
DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation)
DRV - (aeaudio) -- C:\WINDOWS\system32\drivers\aeaudio.sys (Andrea Electronics Corporation)
DRV - (DOSMEMIO) -- C:\WINDOWS\system32\MEMIO.SYS ()


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.spiegel.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "Яндек�"
FF - prefs.js..browser.startup.homepage: "http://www.spiegel.de/"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.5.4.20081105
FF - prefs.js..keyword.URL: "http://yandex.ru/yandsearch?stype=first&clid=43912&yasoft=barff&text="
FF - prefs.js..network.proxy.backup.ftp: "localhost"
FF - prefs.js..network.proxy.backup.ftp_port: 9666
FF - prefs.js..network.proxy.backup.gopher: "localhost"
FF - prefs.js..network.proxy.backup.gopher_port: 9666
FF - prefs.js..network.proxy.backup.socks: "localhost"
FF - prefs.js..network.proxy.backup.socks_port: 9666
FF - prefs.js..network.proxy.backup.ssl: "localhost"
FF - prefs.js..network.proxy.backup.ssl_port: 9666
FF - prefs.js..network.proxy.ftp: "localhost"
FF - prefs.js..network.proxy.ftp_port: 9666
FF - prefs.js..network.proxy.gopher: "localhost"
FF - prefs.js..network.proxy.gopher_port: 9666
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 9666
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9666
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 9666


FF - HKLM\software\mozilla\Mozilla Firefox 3.0.17\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.01.07 03:05:32 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.17\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.01.06 22:08:56 | 000,000,000 | ---D | M]

[2008.07.05 04:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.02.04 17:08:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\h5kw868i.default\extensions
[2010.02.04 11:03:42 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\h5kw868i.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010.02.04 16:05:46 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.11.26 19:51:06 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.11.26 19:51:06 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.11.26 19:51:06 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.11.26 19:51:06 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.11.26 19:51:06 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.01.13 04:12:39 | 000,000,022 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - No CLSID value found.
O4 - HKLM..\Run: [avast!] C:\Programme\Alwil Software\Avast4\ashDisp.exe (ALWIL Software)
O4 - HKLM..\Run: [H2O] C:\Programme\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
O4 - HKLM..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe (Apple Inc.)
O4 - HKLM..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\mafwTray.exe (Avid Technology, Inc.)
O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe (Apple Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKCU..\Run: [BitTorrent DNA] C:\Programme\DNA\btdna.exe (BitTorrent, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\ANYCOM\Bluetooth-USB\BTTray.exe (Broadcom Corporation.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Bluetooth-USB\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ANYCOM\Bluetooth-USB\btsendto_ie.htm ()
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Bluetooth-USB\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Bluetooth-USB\btsendto_ie.htm ()
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.07.05 03:47:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{07b1d152-6a3d-11dd-8498-0000f07b5b1a}\Shell - "" = AutoRun
O33 - MountPoints2\{07b1d152-6a3d-11dd-8498-0000f07b5b1a}\Shell\AutoRun - "" = Auto&Play
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.02.04 22:00:50 | 000,548,864 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.com
[2010.02.04 21:35:44 | 000,070,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\notepad.com
[2010.02.04 11:04:36 | 001,394,000 | ---- | C] (Malwarebytes Corporation) -- C:\Dokumente und Einstellungen\***\Desktop\mbam.exe
[2010.02.04 10:29:01 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.02.04 05:07:13 | 000,000,000 | ---D | C] -- C:\Programme\TrendMicro
[2010.02.04 02:59:25 | 000,000,000 | ---D | C] -- C:\rsit
[2010.02.04 02:51:30 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.02.02 19:56:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\justdancemusic.blogspot.com
[2010.01.30 14:58:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\DAEMON Tools Images
[2010.01.30 14:45:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DAEMON Tools Pro
[2010.01.30 14:45:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
[2010.01.30 14:39:05 | 000,069,632 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ztvcabinet.dll
[2010.01.30 04:44:15 | 000,000,000 | ---D | C] -- C:\Programme\Way Out Ware
[2010.01.28 18:49:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\FONTS-OUSI
[2010.01.23 16:34:12 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C2686527-0D57-4F0B-ADAB-EE203CA30FC6}
[2010.01.23 16:33:08 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A397AF63-B3A1-40DF-AA85-5C5368304B60}
[2010.01.13 15:58:42 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.13 15:58:39 | 000,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.13 15:58:39 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.01.13 15:11:23 | 000,023,120 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswRdr.sys
[2010.01.13 15:11:22 | 000,048,560 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswTdi.sys
[2010.01.13 15:11:21 | 000,027,408 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aavmker4.sys
[2010.01.13 15:11:20 | 000,097,480 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\AvastSS.scr
[2010.01.13 15:11:19 | 000,114,768 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswSP.sys
[2010.01.13 15:11:19 | 000,094,160 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswmon2.sys
[2010.01.13 15:11:19 | 000,093,424 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswmon.sys
[2010.01.13 15:11:19 | 000,020,560 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys
[2010.01.13 15:10:57 | 001,280,480 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\aswBoot.exe
[2010.01.13 04:05:03 | 000,000,000 | ---D | C] -- C:\Programme\Enigma Software Group
[2010.01.13 03:33:54 | 000,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll
[2009.01.17 18:47:06 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2009.01.17 18:47:06 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2009.01.17 18:47:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.01.17 18:47:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.02.04 22:00:54 | 000,548,864 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.com
[2010.02.04 21:55:30 | 000,003,340 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\exefile_xp.reg
[2010.02.04 21:22:45 | 000,000,527 | ---- | M] () -- C:\Dokumente und Einstellungen\***Desktop\SetExe.reg
[2010.02.04 20:41:31 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.02.04 20:41:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.02.04 20:40:12 | 010,223,616 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.02.04 20:40:12 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.02.04 20:10:23 | 000,449,966 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.02.04 20:10:23 | 000,433,332 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.02.04 20:10:23 | 000,068,096 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.02.04 20:10:22 | 001,044,752 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.02.04 20:10:22 | 000,080,822 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.02.04 19:18:46 | 000,000,471 | ---- | M] () -- C:\WINDOWS\System32\Datei4
[2010.02.04 19:18:46 | 000,000,471 | ---- | M] () -- C:\WINDOWS\System32\Datei2
[2010.02.04 19:18:46 | 000,000,470 | ---- | M] () -- C:\WINDOWS\System32\Datei3
[2010.02.04 19:18:46 | 000,000,470 | ---- | M] () -- C:\WINDOWS\System32\Datei1
[2010.02.04 19:18:46 | 000,000,469 | ---- | M] () -- C:\WINDOWS\System32\Datei7
[2010.02.04 19:18:46 | 000,000,469 | ---- | M] () -- C:\WINDOWS\System32\Datei5
[2010.02.04 19:18:46 | 000,000,468 | ---- | M] () -- C:\WINDOWS\System32\Datei0
[2010.02.04 19:18:46 | 000,000,467 | ---- | M] () -- C:\WINDOWS\System32\Datei9
[2010.02.04 19:18:46 | 000,000,467 | ---- | M] () -- C:\WINDOWS\System32\Datei8
[2010.02.04 19:18:46 | 000,000,467 | ---- | M] () -- C:\WINDOWS\System32\Datei10
[2010.02.04 19:18:46 | 000,000,465 | ---- | M] () -- C:\WINDOWS\System32\Datei6
[2010.02.04 18:55:47 | 000,000,219 | ---- | M] () -- C:\WINDOWS\System32\lsprst7.tgz
[2010.02.04 18:55:47 | 000,000,205 | ---- | M] () -- C:\WINDOWS\System32\lsprst7.dll
[2010.02.04 18:55:47 | 000,000,087 | ---- | M] () -- C:\WINDOWS\System32\ssprs.tgz
[2010.02.04 18:55:47 | 000,000,073 | ---- | M] () -- C:\WINDOWS\System32\ssprs.dll
[2010.02.04 17:07:11 | 000,000,608 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\UnHookExec.inf
[2010.02.04 11:27:00 | 015,499,676 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Owe Me Nicolas Jaar Mix.mp3
[2010.02.04 11:04:33 | 001,394,000 | ---- | M] (Malwarebytes Corporation) -- C:\Dokumente und Einstellungen\***\Desktop\mbam.exe
[2010.02.04 10:53:47 | 000,135,168 | ---- | M] () -- C:\zip.exe
[2010.02.04 10:53:47 | 000,019,286 | ---- | M] () -- C:\cleanup.exe
[2010.02.04 10:53:47 | 000,000,574 | ---- | M] () -- C:\cleanup.bat
[2010.02.04 10:34:51 | 000,014,366 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\lhA2470gLkOB
[2010.02.04 10:25:52 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\avenger.exe
[2010.02.04 10:22:53 | 000,000,527 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\SetExe.reg
[2010.02.04 05:07:13 | 000,001,978 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.lnk
[2010.02.04 02:56:57 | 000,000,570 | ---- | M] () -- C:\Dokumente und Einstellungen\***Desktop\cc_20100204_025654.reg
[2010.02.04 02:54:57 | 000,003,556 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\cc_20100204_025454.reg
[2010.02.04 02:54:35 | 000,301,580 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\cc_20100204_025421.reg
[2010.02.04 02:45:14 | 000,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk
[2010.02.03 04:14:21 | 000,002,856 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\BOOKING-GK.jpg
[2010.02.03 01:40:44 | 000,000,799 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.02.03 01:40:44 | 000,000,270 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.01.31 19:59:01 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.01.30 14:46:25 | 000,691,696 | ---- | M] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.01.30 04:36:34 | 000,048,640 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.25 23:57:41 | 000,020,528 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.01.23 16:34:03 | 000,000,737 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Massive.lnk
[2010.01.15 17:43:31 | 000,000,403 | RHS- | M] () -- C:\boot.ini
[2010.01.13 15:11:19 | 000,003,002 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2010.01.07 16:07:14 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.07 16:07:04 | 000,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.02.04 21:55:29 | 000,003,340 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\exefile_xp.reg
[2010.02.04 17:07:11 | 000,000,608 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\UnHookExec.inf
[2010.02.04 10:53:47 | 000,135,168 | ---- | C] () -- C:\zip.exe
[2010.02.04 10:53:47 | 000,000,574 | ---- | C] () -- C:\cleanup.bat
[2010.02.04 10:28:10 | 000,019,286 | ---- | C] () -- C:\cleanup.exe
[2010.02.04 10:25:49 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\avenger.exe
[2010.02.04 10:23:57 | 000,000,527 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\SetExe.reg
[2010.02.04 10:22:53 | 000,000,527 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\SetExe.reg
[2010.02.04 05:07:13 | 000,001,978 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.lnk
[2010.02.04 02:56:55 | 000,000,570 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\cc_20100204_025654.reg
[2010.02.04 02:54:55 | 000,003,556 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\cc_20100204_025454.reg
[2010.02.04 02:54:24 | 000,301,580 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\cc_20100204_025421.reg
[2010.02.04 02:45:14 | 000,001,512 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk
[2010.02.04 01:51:01 | 000,014,366 | -HS- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\lhA2470gLkOB
[2010.01.30 14:46:25 | 000,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.01.30 14:39:05 | 000,162,304 | ---- | C] () -- C:\WINDOWS\System32\ztvunrar36.dll
[2010.01.30 14:39:05 | 000,077,312 | ---- | C] () -- C:\WINDOWS\System32\ztvunace26.dll
[2010.01.13 15:10:57 | 000,380,928 | ---- | C] () -- C:\WINDOWS\System32\actskin4.ocx
[2009.08.22 14:11:55 | 000,000,204 | ---- | C] () -- C:\WINDOWS\struct~.ini
[2009.08.03 18:55:32 | 000,000,063 | ---- | C] () -- C:\WINDOWS\custvoic.ini
[2009.07.07 16:08:20 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll
[2009.07.07 16:08:20 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys
[2009.07.07 16:08:05 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\$_hpcst$.hpc
[2009.05.20 03:34:31 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2009.02.23 04:10:51 | 000,000,251 | ---- | C] () -- C:\WINDOWS\phedit.ini
[2009.02.04 10:50:32 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsis_loader.dll
[2009.01.21 01:22:16 | 000,000,205 | ---- | C] () -- C:\WINDOWS\System32\lsprst7.dll
[2009.01.21 01:22:16 | 000,000,073 | ---- | C] () -- C:\WINDOWS\System32\ssprs.dll
[2009.01.21 01:22:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\tmpPrst.dll
[2009.01.20 14:33:11 | 000,000,022 | ---- | C] () -- C:\WINDOWS\RsConfig.ini
[2009.01.14 16:37:19 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2008.09.12 12:43:14 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2008.07.16 19:31:08 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.07.09 19:21:07 | 000,038,869 | ---- | C] () -- C:\WINDOWS\4ORMULATOR-.ini
[2008.07.08 13:23:50 | 000,000,020 | ---- | C] () -- C:\WINDOWS\Hposcv07.INI
[2008.07.07 14:11:32 | 002,854,912 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2008.07.07 01:13:09 | 000,048,640 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.07.05 20:45:30 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\ArtFfct.dll
[2008.07.05 19:12:38 | 000,002,048 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.dll
[2008.07.05 19:12:38 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\clauth2.dll
[2008.07.05 19:12:38 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\clauth1.dll
[2008.07.05 04:17:19 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS
[2007.10.25 16:26:10 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2006.09.13 12:06:10 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\gtapi.dll
[2005.06.08 15:58:10 | 000,017,792 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWFilter.sys
[2005.06.08 15:58:08 | 000,035,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWXT_kern_i386.sys
[2005.06.08 15:58:08 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSXT_kern_i386.sys
[2005.02.17 11:41:32 | 000,000,603 | ---- | C] () -- C:\WINDOWS\System32\BTNeighborhood.dll.manifest
[2005.02.17 11:41:30 | 000,000,593 | ---- | C] () -- C:\WINDOWS\System32\btcss.dll.manifest
[2001.11.14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll

========== Alternate Data Streams ==========

@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\***\Desktop\SetExe.reg:SummaryInformation
@Alternate Data Stream - 1321 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:wPyANMFRRA3Igh6OqHktZZPrhht7i
@Alternate Data Stream - 1309 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:zDUK8np8ev8DcKMXyg3QXPPyLGegK
@Alternate Data Stream - 1303 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:GtyeWCgLkFbWAlYIlNoAaU9yN
@Alternate Data Stream - 1297 bytes -> C:\Dokumente und Einstellungen\***\Cookies:xKHLLArYgDy8fek8dHSpllGZnFW
@Alternate Data Stream - 1164 bytes -> C:\Programme\Gemeinsame Dateien\Microsoft Shared:16DSmuncFB0TX8GalfytIilxhgUAt
@Alternate Data Stream - 1090 bytes -> C:\Programme\WindowsUpdate:p9bLmIaOyTE4AwVCpDfSj
@Alternate Data Stream - 1068 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:8Aj0WxwCnaj4pjnOJC7F
@Alternate Data Stream - 1059 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:PaNDvM8XEdiUbLU3OQJbpRj
@Alternate Data Stream - 1037 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:wiHT3GIRLl67Ic707
@Alternate Data Stream - 1005 bytes -> C:\Dokumente und Einstellungen\***\Cookies:5BwNOv7b5GyC1IKWjEcBGZqoeJi3
@Alternate Data Stream - 1002 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:Kg6WnikzMUmmNrZrQuOeXiyx
< End of report >

Extras.Txt


OTL Extras logfile created on: 04.02.2010 22:02:00 - Run 1
OTL by OldTimer - Version 3.1.27.1 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 617,00 Mb Available Physical Memory | 60,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 67,27 Gb Total Space | 6,73 Gb Free Space | 10,01% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 27,95 Gb Total Space | 18,34 Gb Free Space | 65,60% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ****
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Programme\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.exe [@ = secfile] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\av.exe File not found
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" %*
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "%programfiles%\internet explorer\iexplore.exe" (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 1
"FirewallOverride" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\DNA\btdna.exe" = C:\Programme\DNA\btdna.exe:*:Enabled:DNA -- (BitTorrent, Inc.)
"C:\Programme\Zattoo\zattood.exe" = C:\Programme\Zattoo\zattood.exe:*:Enabled:zattood -- File not found
"C:\Programme\Zattoo\Zattoo2.exe" = C:\Programme\Zattoo\Zattoo2.exe:*:Enabled: -- File not found
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- File not found
"C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- File not found
"C:\Programme\uusee\UUSeePlayer.exe" = C:\Programme\uusee\UUSeePlayer.exe:*:Enabled:UUPlayer -- File not found
"C:\Programme\Gemeinsame Dateien\uusee\UUSeeMediaCenter.exe" = C:\Programme\Gemeinsame Dateien\uusee\UUSeeMediaCenter.exe:*:Enabled:MediaCenter -- File not found
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{01F67963-9EB0-4D0F-9523-0B68FA473462}" = VideoSL
"{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}" = HiJackThis
"{0B8565BA-BAD5-4732-B122-5FD78EFC50A9}" = Native Instruments Service Center
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Systemsteuerung
"{1099EEAB-C4BC-4F66-980F-2269856A71CD}" = Native Instruments Traktor
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 14
"{28DA872A-0848-48CF-B749-19A198157A2A}" = mDriver
"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3E68785D-CD4D-485D-A6A3-8EB93DC3B3C2}" = Scratch Live 1.9.1 (19127)
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{491DF203-7B61-4F0E-BDCB-A1218C4DAFE9}" = Native Instruments Massive
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Samsung Battery Manager
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7E84FAC8-C518-40F9-9807-7455301D6D25}" = SamsungConnectivityCableDriver
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = ANYCOM Bluetooth Software
"{8D3C7DAC-B1BA-46C2-82EB-96F4877C3574}_is1" = TextToWav 1.5 beta
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AAB9478F-DE6B-498B-9420-21E1F1AC700D}" = WOW XT and TSXT Filter Driver
"{AC76BA86-7AD7-1031-7B44-A90000000001}" = Adobe Reader 9 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C26B06A9-27BB-45B0-9873-9C623EC2BA38}" = iTunes
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{CCD90636-D97D-4130-A44A-3AD4E63B9220}" = OpenOffice.org 2.4
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D9CF5E60-42B1-489B-A0E2-9A6EE3DEB969}" = Firewire Family
"{E05C17CC-71AB-49EE-8E3F-60AD24DCFDC7}" = Flux:: Stereo Tool
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F7BE399C-3D88-420D-86BC-F3D75203B70E}" = Service Center Setup
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"Arturia Minimoog V v1.0" = Arturia Minimoog V v1.0
"ASIO4ALL" = ASIO4ALL
"ATI Display Driver" = ATI Display Driver
"avast!" = avast! Antivirus
"CCleaner" = CCleaner
"Cool Edit Pro 2.1" = Cool Edit Pro 2.1
"Edirol HQ Orchestral VSTi v1.03" = Edirol HQ Orchestral VSTi v1.03
"Effectrix" = Effectrix
"FL Studio 8" = FL Studio 8
"HijackThis" = HijackThis 2.0.2
"hp psc 700 series 1215520703" = hp psc 700 series
"HS2_is1" = Steinberg Hypersonic 2
"idnmitigationapis" = Microsoft Internationalized Domain Names Mitigation APIs
"IL Download Manager" = IL Download Manager
"Korg Legacy Collection VSTi v1.0.02" = Korg Legacy Collection VSTi v1.0.02
"LHTTSENG" = L&H TTS3000 British English
"LHTTSFRF" = L&H TTS3000 Français
"LHTTSGED" = L&H TTS3000 Deutsch
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.0.17)" = Mozilla Firefox (3.0.17)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSTTS" = Microsoft Text-to-Speech Engine 4.0 (English)
"Native Instruments GuitarRig 2.01 RTAS VSTi DXi" = Native Instruments GuitarRig 2.01 RTAS VSTi DXi
"Native Instruments Massive" = Native Instruments Massive
"Native Instruments Service Center" = Native Instruments Service Center
"Nero - Burning Rom!UninstallKey" = Nero OEM
"nlsdownlevelmapping" = Microsoft National Language Support Downlevel APIs
"PoiZone" = PoiZone
"ProInst" = Intel(R) PROSet/Wireless Software
"RealPlayer 6.0" = RealPlayer
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"Steinberg Dcota v1.0" = Steinberg Dcota v1.0
"Stillwell Audio Plugins Bundle VST v1.52" = Stillwell Audio Plugins Bundle VST v1.52
"SyncroSoft Emu" = SyncroSoft Emu (Remove only)
"Syncrosoft's License Control" = Syncrosofts Lizenz Kontrolle
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Toxic Biohazard" = Toxic Biohazard
"tv_enua" = Lernout & Hauspie TruVoice American English TTS Engine
"Unique" = Unique
"Veetle TV" = Veetle TV 0.9.15
"VLC media player" = VideoLAN VLC media player 0.8.6c
"Winamp" = Winamp
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"windows xp service pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"BitTorrent DNA" = DNA

========== Last 10 Event Log Errors ==========

[ Antivirus Events ]
Error - 13.01.2010 09:37:54 | Computer Name = *** | Source = avast! | ID = 33554522
Description = Error in library avUInt: ActiveSkin not installed or not registered
properly.

Error - 13.01.2010 09:37:59 | Computer Name = *** | Source = avast! | ID = 33554522
Description = Error in library avUInt: ActiveSkin not installed or not registered
properly.

Error - 13.01.2010 09:38:09 | Computer Name = *** | Source = avast! | ID = 33554522
Description = Error in library avUInt: ActiveSkin not installed or not registered
properly.

Error - 13.01.2010 09:38:15 | Computer Name = *** | Source = avast! | ID = 33554522
Description = Error in library avUInt: ActiveSkin not installed or not registered
properly.

Error - 13.01.2010 09:38:25 | Computer Name = *** | Source = avast! | ID = 33554522
Description = Error in library avUInt: ActiveSkin not installed or not registered
properly.

Error - 13.01.2010 09:38:37 | Computer Name = *** | Source = avast! | ID = 33554522
Description = Error in library avUInt: ActiveSkin not installed or not registered
properly.

Error - 13.01.2010 09:41:45 | Computer Name = *** | Source = avast! | ID = 33554522
Description = Error in library avUInt: ActiveSkin not installed or not registered
properly.

Error - 13.01.2010 09:41:48 | Computer Name = *** | Source = avast! | ID = 33554522
Description = Error in library avUInt: ActiveSkin not installed or not registered
properly.

Error - 13.01.2010 10:00:10 | Computer Name = *** | Source = avast! | ID = 33554522
Description = Error in library avUInt: ActiveSkin not installed or not registered
properly.

Error - 13.01.2010 10:00:14 | Computer Name = *** | Source = avast! | ID = 33554522
Description = Error in library avUInt: ActiveSkin not installed or not registered
properly.

[ Application Events ]
Error - 09.01.2010 12:35:30 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fl.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00011689.

Error - 09.01.2010 12:39:49 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fl.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00011689.

Error - 09.01.2010 12:49:04 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fl.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00010a19.

Error - 10.01.2010 14:14:15 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fl.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x0001072f.

Error - 11.01.2010 21:15:12 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fl.exe, Version 0.0.0.0, fehlgeschlagenes
Modul flengine.dll, Version 8.0.0.2, Fehleradresse 0x001291ab.

Error - 12.01.2010 22:44:18 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.0.3642, fehlgeschlagenes
Modul 3difr.x3d, Version 9.0.0.0, Fehleradresse 0x00018ef4.

Error - 18.01.2010 10:27:51 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.0.3642, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 18.01.2010 10:27:55 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.0.3642, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 22.01.2010 23:11:14 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fl.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00010a19.

Error - 22.01.2010 23:44:07 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fl.exe, Version 0.0.0.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.

[ System Events ]
Error - 04.02.2010 09:08:00 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nsynas32" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 04.02.2010 09:08:00 | Computer Name = *** | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SASKUTIL TPkd

Error - 04.02.2010 09:14:25 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nsynas32" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 04.02.2010 09:14:25 | Computer Name = *** | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SASKUTIL TPkd

Error - 04.02.2010 12:31:45 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nsynas32" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 04.02.2010 12:31:45 | Computer Name = *** | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SASKUTIL TPkd

Error - 04.02.2010 13:53:34 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nsynas32" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 04.02.2010 13:53:34 | Computer Name = *** | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SASKUTIL TPkd

Error - 04.02.2010 15:42:49 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nsynas32" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 04.02.2010 15:42:49 | Computer Name = *** | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
SASKUTIL TPkd


< End of report >

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Laut den Keys muss sich jetzt aber sowohl exe als auch com-Programme problemlos öffnen lassen:
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*

Weiterhin ist das gesamte SecurityCenter mehr oder weniger abgeschaltet, daher fixen wir jetzt mit OTL:

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

* %systemroot%\_OTL

Probiere jetzt mal ob Du exe-files starten kannst...

Scanne mit GMER, ev. ebenfalls die exe auf com umbenennen...
Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Leider bin ich heute in einer ganztätigen Besprechung (ab 09:00-17:00 Uhr),
mal sehen ob ich jemand für Dich finde....

chris

MalwareBytes' Anti-Malware
Support : Windows NT/2000/XP/2003 Server/Vista/2008 Server
Download mbam-setup.exe zum Desktop ".

Sorge dafuer das bei Erweiterungen bei bekannten Dateitypen ausblenden das haeckchen entfernt ist
Anleitung

Benenne jetzt mbam-setup.exe http://www.imgdumper.nl/uploads2/4b6...1264692390.gif um nach mbam-setup.com http://www.imgdumper.nl/uploads2/4b6...1264692417.gif

Navigiere jetzt nach C:\Programme\Malwarebytes' Anti-Malware und aendere da auch mbam-setup.exe um nach mbam-setup.com
http://www.imgdumper.nl/uploads2/4b6...1264692578.gif http://www.imgdumper.nl/uploads2/4b6...1264692621.gif

Doppelklick mbam-setup.com waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”>> Vollstaendigen Suchlauf durchführen
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen

Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu

Am Ende mbam-setup.com wieder umbenennen nach mbam-setup.exe

Quelle : http://forums.malwarebytes.org/index.php?showtopic=38629

ssprs.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.05 -
AhnLab-V3 5.0.0.2 2010.02.05 -
AntiVir 7.9.1.158 2010.02.05 -
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.05 -
Avast 4.8.1351.0 2010.02.04 -
AVG 9.0.0.730 2010.02.05 -
BitDefender 7.2 2010.02.05 -
CAT-QuickHeal 10.00 2010.02.05 -
ClamAV 0.96.0.0-git 2010.02.04 -
Comodo 3829 2010.02.05 -
DrWeb 5.0.1.12222 2010.02.05 -
eSafe 7.0.17.0 2010.02.04 -
eTrust-Vet 35.2.7285 2010.02.05 -
F-Prot 4.5.1.85 2010.02.05 -
F-Secure 9.0.15370.0 2010.02.05 -
Fortinet 4.0.14.0 2010.02.05 -
GData 19 2010.02.05 -
Ikarus T3.1.1.80.0 2010.02.05 -
Jiangmin 13.0.900 2010.02.05 -
K7AntiVirus 7.10.966 2010.02.03 -
Kaspersky 7.0.0.125 2010.02.05 -
McAfee 5882 2010.02.04 -
McAfee+Artemis 5882 2010.02.04 -
McAfee-GW-Edition 6.8.5 2010.02.05 -
Microsoft 1.5406 2010.02.05 -
NOD32 4837 2010.02.05 -
Norman 6.04.03 2010.02.05 -
nProtect 2009.1.8.0 2010.02.05 -
Panda 10.0.2.2 2010.02.05 -
PCTools 7.0.3.5 2010.02.05 -
Prevx 3.0 2010.02.05 -
Rising 22.33.04.04 2010.02.05 -
Sophos 4.50.0 2010.02.05 -
Sunbelt 3.2.1858.2 2010.02.05 -
TheHacker 6.5.1.0.180 2010.02.05 -
TrendMicro 9.120.0.1004 2010.02.05 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.04 -
weitere Informationen
File size: 73 bytes
MD5...: 4aa1108231e158a00afbde5c719e54ee
SHA1..: 958a051c7f12ccf5739296b82b6b2091fb145d93
SHA256: 51aa3a37ef0b45ef4276f239865c0fa67d047d4777e36a2ebf3c1b09ba09b3af
ssdeep: 3:pCtwVHYf9yllaYlsPBqRRn:goHgx1P0RR
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
trid..: Unknown!
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

lsprst7.dll


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.05 -
AhnLab-V3 5.0.0.2 2010.02.05 -
AntiVir 7.9.1.158 2010.02.05 -
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.05 -
Avast 4.8.1351.0 2010.02.04 -
AVG 9.0.0.730 2010.02.05 -
BitDefender 7.2 2010.02.05 -
CAT-QuickHeal 10.00 2010.02.05 -
ClamAV 0.96.0.0-git 2010.02.04 -
Comodo 3829 2010.02.05 -
DrWeb 5.0.1.12222 2010.02.05 -
eSafe 7.0.17.0 2010.02.04 -
eTrust-Vet 35.2.7285 2010.02.05 -
F-Prot 4.5.1.85 2010.02.05 -
F-Secure 9.0.15370.0 2010.02.05 -
Fortinet 4.0.14.0 2010.02.05 -
GData 19 2010.02.05 -
Ikarus T3.1.1.80.0 2010.02.05 -
Jiangmin 13.0.900 2010.02.05 -
K7AntiVirus 7.10.966 2010.02.03 -
Kaspersky 7.0.0.125 2010.02.05 -
McAfee 5882 2010.02.04 -
McAfee+Artemis 5882 2010.02.04 -
McAfee-GW-Edition 6.8.5 2010.02.05 -
Microsoft 1.5406 2010.02.05 -
NOD32 4837 2010.02.05 -
Norman 6.04.03 2010.02.05 -
nProtect 2009.1.8.0 2010.02.05 -
Panda 10.0.2.2 2010.02.05 -
PCTools 7.0.3.5 2010.02.05 -
Rising 22.33.04.04 2010.02.05 -
Sophos 4.50.0 2010.02.05 -
Sunbelt 3.2.1858.2 2010.02.05 -
TheHacker 6.5.1.0.180 2010.02.05 -
TrendMicro 9.120.0.1004 2010.02.05 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.04 -
weitere Informationen
File size: 205 bytes
MD5...: 541ec7a2019cd047e69967f79b57a0ba
SHA1..: 83e1db135054a3c078026ab9ad512a18a2d5eac5
SHA256: da2f54ef86f7c080c128b0dbe7cd8624a573b88c27daf96cb11b2f32490921f0
ssdeep: 3:pCtwVHYf9yiv5vAlsPBqRJpFRBFPBaGHGbHl6DMqfGHGbHl6YL0Xnv7tLQ1JLv
AN:goHgxx1P0RJr9BVGS9IGSW1acBa6GX8Y
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: file seems to be plain text/ASCII (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Kann die OTL Files nicht posten, da ich den Ordner %systemroot%\_OTL nicht finden kann. Nach Run Fixes kann ich immer noch keine .exe starten.


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-05 15:13:20
Windows 5.1.2600 Service Pack 3
Running: oslu5vrd.com; Driver: C:\DOKUME~1\BJu\LOKALE~1\Temp\pxtdqpog.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF1E976B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF1E97574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF1E97A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF1E9714C]
SSDT sppb.sys ZwEnumerateKey [0xF7529DA4]
SSDT sppb.sys ZwEnumerateValueKey [0xF752A132]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF1E9764E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF1E9708C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF1E970F0]
SSDT sppb.sys ZwQueryKey [0xF752A20A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF1E9776E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF1E9772E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF1E978AE]

INT 0x62 ? 86F6CBF8
INT 0x63 ? 86B56DF0
INT 0x83 ? 86B56DF0
INT 0xA4 ? 86B56DF0
INT 0xB4 ? 86B56DF0

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 169 804E27C5 3 Bytes [9D, 52, F7]
? sppb.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F639C8AC 5 Bytes JMP 86B563D0

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 86FDB2D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F753CDDC] sppb.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F753CE30] sppb.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7512042] sppb.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F751213E] sppb.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F75120C0] sppb.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7512800] sppb.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F75126D6] sppb.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 86B564D0
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7521B90] sppb.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[764] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[764] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86F6B1F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \Driver\USBSTOR \Device\0000008e 86BC1500
Device \Driver\USBSTOR \Device\0000008f 86BC1500

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\usbuhci \Device\USBPDO-0 86B6A500
Device \Driver\usbuhci \Device\USBPDO-1 86B6A500
Device \Driver\usbuhci \Device\USBPDO-2 86B6A500
Device \Driver\usbuhci \Device\USBPDO-3 86B6A500
Device \Driver\NetBT \Device\NetBT_Tcpip_{1EAEA797-CF14-448B-BE63-8EA75B37CEFC} 86BBE500
Device \Driver\usbehci \Device\USBPDO-4 86B6D500

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD91F8
Device \Driver\Cdrom \Device\CdRom0 86C26338
Device \Driver\Ftdisk \Device\HarddiskVolume2 86FD91F8
Device \Driver\atapi \Device\Ide\IdePort0 [F746CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F746CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F746CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 86BBE500
Device \Driver\NetBT \Device\NetbiosSmb 86BBE500

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbuhci \Device\USBFDO-0 86B6A500
Device \Driver\usbuhci \Device\USBFDO-1 86B6A500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86B8E500
Device \Driver\usbuhci \Device\USBFDO-2 86B6A500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86B8E500
Device \Driver\usbuhci \Device\USBFDO-3 86B6A500
Device \Driver\usbehci \Device\USBFDO-4 86B6D500
Device \Driver\Ftdisk \Device\FtControl 86FD91F8
Device \FileSystem\Cdfs \Cdfs 86B1F500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x6A 0x7D 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x49 0x34 0x38 0xCE ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x6A 0x7D 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x49 0x34 0x38 0xCE ...

---- EOF - GMER 1.0.15 ----

Hi,

probiere das von Argus mal aus...
Die atapi.sys scheint nicht ok zu sein...

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150
Entpacke alle Dateien! Kopiere die tdsskiller.exe auch auf tdsskiller.com...

Start.bat erstellen:
Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein:

• Speichern als: start.bat

• abspeichern unter : Dateityp: alle Dateien

• speichere die Datei im Ordner wo auch TDSSKiller.com steht

• Doppelklick start.bat

TDSSKiller.com wird gestartet und ein Log erzeugen(report.txt).
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt.

chris

Jaa, die Anleitung von Argus hat geklappt. Man, es wär es echt nur die Umbennung nötig gewesen. Super. Danke! Hier nochmal die Report.datei

16:46:40:828 1276 TDSS rootkit removing tool 2.2.2 Jan 13 2010 08:42:25
16:46:40:828 1276 ================================================================================
16:46:40:828 1276 SystemInfo:

16:46:40:828 1276 OS Version: 5.1.2600 ServicePack: 3.0
16:46:40:828 1276 Product type: Workstation
16:46:40:828 1276 ComputerName: ***
16:46:40:828 1276 UserName: ***
16:46:40:828 1276 Windows directory: C:\WINDOWS
16:46:40:828 1276 Processor architecture: Intel x86
16:46:40:828 1276 Number of processors: 1
16:46:40:828 1276 Page size: 0x1000
16:46:40:828 1276 Boot type: Normal boot
16:46:40:828 1276 ================================================================================
16:46:40:828 1276 UnloadDriverW: NtUnloadDriver error 2
16:46:40:828 1276 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
16:46:40:843 1276 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000
16:46:40:859 1276 UtilityInit: KLMD drop and load success
16:46:40:859 1276 KLMD_OpenDevice: Trying to open KLMD Device(KLMD201000)
16:46:40:859 1276 UtilityInit: KLMD open success
16:46:40:859 1276 UtilityInit: Initialize success
16:46:40:859 1276
16:46:40:859 1276 Scanning Services ...
16:46:40:859 1276 CreateRegParser: Registry parser init started
16:46:40:859 1276 DisableWow64Redirection: GetProcAddress(Wow64DisableWow64FsRedirection) error 127
16:46:40:859 1276 CreateRegParser: DisableWow64Redirection error
16:46:40:859 1276 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
16:46:40:859 1276 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\system) returned status C0000043
16:46:40:859 1276 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
16:46:40:859 1276 wfopen_ex: Trying to KLMD file open
16:46:40:859 1276 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\system
16:46:40:859 1276 wfopen_ex: File opened ok (Flags 2)
16:46:40:859 1276 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\system) init success: 384910
16:46:40:859 1276 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
16:46:40:859 1276 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\software) returned status C0000043
16:46:40:859 1276 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
16:46:40:859 1276 wfopen_ex: Trying to KLMD file open
16:46:40:859 1276 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\software
16:46:40:859 1276 wfopen_ex: File opened ok (Flags 2)
16:46:40:859 1276 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\software) init success: 3849B8
16:46:40:859 1276 EnableWow64Redirection: GetProcAddress(Wow64RevertWow64FsRedirection) error 127
16:46:40:859 1276 CreateRegParser: EnableWow64Redirection error
16:46:40:859 1276 CreateRegParser: RegParser init completed
16:46:41:281 1276 GetAdvancedServicesInfo: Raw services enum returned 352 services
16:46:41:281 1276 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
16:46:41:281 1276 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
16:46:41:281 1276
16:46:41:281 1276 Scanning Kernel memory ...
16:46:41:281 1276 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk
16:46:41:281 1276 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 86F3CA08
16:46:41:281 1276 DetectCureTDL3: KLMD_GetDeviceObjectList returned 4 DevObjects
16:46:41:281 1276
16:46:41:281 1276 DetectCureTDL3: DEVICE_OBJECT: 86C4C030
16:46:41:281 1276 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86C4C030
16:46:41:281 1276 KLMD_ReadMem: Trying to ReadMemory 0x86C4C030[0x38]
16:46:41:281 1276 DetectCureTDL3: DRIVER_OBJECT: 86F3CA08
16:46:41:281 1276 KLMD_ReadMem: Trying to ReadMemory 0x86F3CA08[0xA8]
16:46:41:281 1276 KLMD_ReadMem: Trying to ReadMemory 0xE1686ED8[0x18]
16:46:41:281 1276 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
16:46:41:281 1276 DetectCureTDL3: IrpHandler (0) addr: F769ABB0
16:46:41:281 1276 DetectCureTDL3: IrpHandler (1) addr: 804FA87E
16:46:41:281 1276 DetectCureTDL3: IrpHandler (2) addr: F769ABB0
16:46:41:296 1276 DetectCureTDL3: IrpHandler (3) addr: F7694D1F
16:46:41:296 1276 DetectCureTDL3: IrpHandler (4) addr: F7694D1F
16:46:41:296 1276 DetectCureTDL3: IrpHandler (5) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (6) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (7) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (8) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (9) addr: F76952E2
16:46:41:296 1276 DetectCureTDL3: IrpHandler (10) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (11) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (12) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (13) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (14) addr: F76953BB
16:46:41:296 1276 DetectCureTDL3: IrpHandler (15) addr: F7698F28
16:46:41:296 1276 DetectCureTDL3: IrpHandler (16) addr: F76952E2
16:46:41:296 1276 DetectCureTDL3: IrpHandler (17) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (18) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (19) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (20) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (21) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (22) addr: F7696C82
16:46:41:296 1276 DetectCureTDL3: IrpHandler (23) addr: F769B99E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (24) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (25) addr: 804FA87E
16:46:41:296 1276 DetectCureTDL3: IrpHandler (26) addr: 804FA87E
16:46:41:296 1276 TDL3_FileDetect: Processing driver: Disk
16:46:41:296 1276 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
16:46:41:296 1276 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
16:46:41:312 1276 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
16:46:41:312 1276
16:46:41:312 1276 DetectCureTDL3: DEVICE_OBJECT: 86C58770
16:46:41:312 1276 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86C58770
16:46:41:312 1276 DetectCureTDL3: DEVICE_OBJECT: 86C07030
16:46:41:312 1276 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86C07030
16:46:41:312 1276 KLMD_ReadMem: Trying to ReadMemory 0x86C07030[0x38]
16:46:41:312 1276 DetectCureTDL3: DRIVER_OBJECT: 86EFB240
16:46:41:312 1276 KLMD_ReadMem: Trying to ReadMemory 0x86EFB240[0xA8]
16:46:41:312 1276 KLMD_ReadMem: Trying to ReadMemory 0xE1677060[0x1E]
16:46:41:312 1276 DetectCureTDL3: DRIVER_OBJECT name: \Driver\USBSTOR, Driver Name: USBSTOR
16:46:41:312 1276 DetectCureTDL3: IrpHandler (0) addr: 8672D1F8
16:46:41:312 1276 DetectCureTDL3: IrpHandler (1) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (2) addr: 8672D1F8
16:46:41:312 1276 DetectCureTDL3: IrpHandler (3) addr: 8672D1F8
16:46:41:312 1276 DetectCureTDL3: IrpHandler (4) addr: 8672D1F8
16:46:41:312 1276 DetectCureTDL3: IrpHandler (5) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (6) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (7) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (8) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (9) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (10) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (11) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (12) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (13) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (14) addr: 8672D1F8
16:46:41:312 1276 DetectCureTDL3: IrpHandler (15) addr: 8672D1F8
16:46:41:312 1276 DetectCureTDL3: IrpHandler (16) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (17) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (18) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (19) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (20) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (21) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (22) addr: 8672D1F8
16:46:41:312 1276 DetectCureTDL3: IrpHandler (23) addr: 8672D1F8
16:46:41:312 1276 DetectCureTDL3: IrpHandler (24) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (25) addr: 804FA87E
16:46:41:312 1276 DetectCureTDL3: IrpHandler (26) addr: 804FA87E
16:46:41:312 1276 KLMD_ReadMem: Trying to ReadMemory 0xF78D5F26[0x400]
16:46:41:312 1276 TDL3_StartIoHookDetect: CheckParameters: 0, 00000000, 0
16:46:41:312 1276 TDL3_FileDetect: Processing driver: USBSTOR
16:46:41:312 1276 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
16:46:41:312 1276 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
16:46:41:328 1276 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: Clean
16:46:41:328 1276
16:46:41:328 1276 DetectCureTDL3: DEVICE_OBJECT: 86E8E9F0
16:46:41:328 1276 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86E8E9F0
16:46:41:328 1276 KLMD_ReadMem: Trying to ReadMemory 0x86E8E9F0[0x38]
16:46:41:328 1276 DetectCureTDL3: DRIVER_OBJECT: 86F3CA08
16:46:41:328 1276 KLMD_ReadMem: Trying to ReadMemory 0x86F3CA08[0xA8]
16:46:41:328 1276 KLMD_ReadMem: Trying to ReadMemory 0xE1686ED8[0x18]
16:46:41:328 1276 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
16:46:41:328 1276 DetectCureTDL3: IrpHandler (0) addr: F769ABB0
16:46:41:328 1276 DetectCureTDL3: IrpHandler (1) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (2) addr: F769ABB0
16:46:41:328 1276 DetectCureTDL3: IrpHandler (3) addr: F7694D1F
16:46:41:328 1276 DetectCureTDL3: IrpHandler (4) addr: F7694D1F
16:46:41:328 1276 DetectCureTDL3: IrpHandler (5) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (6) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (7) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (8) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (9) addr: F76952E2
16:46:41:328 1276 DetectCureTDL3: IrpHandler (10) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (11) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (12) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (13) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (14) addr: F76953BB
16:46:41:328 1276 DetectCureTDL3: IrpHandler (15) addr: F7698F28
16:46:41:328 1276 DetectCureTDL3: IrpHandler (16) addr: F76952E2
16:46:41:328 1276 DetectCureTDL3: IrpHandler (17) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (18) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (19) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (20) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (21) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (22) addr: F7696C82
16:46:41:328 1276 DetectCureTDL3: IrpHandler (23) addr: F769B99E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (24) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (25) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (26) addr: 804FA87E
16:46:41:328 1276 TDL3_FileDetect: Processing driver: Disk
16:46:41:328 1276 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
16:46:41:328 1276 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
16:46:41:328 1276 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
16:46:41:328 1276
16:46:41:328 1276 DetectCureTDL3: DEVICE_OBJECT: 86EF5AB8
16:46:41:328 1276 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86EF5AB8
16:46:41:328 1276 DetectCureTDL3: DEVICE_OBJECT: 86F3D9E8
16:46:41:328 1276 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86F3D9E8
16:46:41:328 1276 DetectCureTDL3: DEVICE_OBJECT: 86F3DD98
16:46:41:328 1276 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86F3DD98
16:46:41:328 1276 KLMD_ReadMem: Trying to ReadMemory 0x86F3DD98[0x38]
16:46:41:328 1276 DetectCureTDL3: DRIVER_OBJECT: 86FCA400
16:46:41:328 1276 KLMD_ReadMem: Trying to ReadMemory 0x86FCA400[0xA8]
16:46:41:328 1276 KLMD_ReadMem: Trying to ReadMemory 0xE167C5F0[0x1A]
16:46:41:328 1276 DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi
16:46:41:328 1276 DetectCureTDL3: IrpHandler (0) addr: F746CB40
16:46:41:328 1276 DetectCureTDL3: IrpHandler (1) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (2) addr: F746CB40
16:46:41:328 1276 DetectCureTDL3: IrpHandler (3) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (4) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (5) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (6) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (7) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (8) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (9) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (10) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (11) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (12) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (13) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (14) addr: F746CB40
16:46:41:328 1276 DetectCureTDL3: IrpHandler (15) addr: F746CB40
16:46:41:328 1276 DetectCureTDL3: IrpHandler (16) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (17) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (18) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (19) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (20) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (21) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (22) addr: F746CB40
16:46:41:328 1276 DetectCureTDL3: IrpHandler (23) addr: F746CB40
16:46:41:328 1276 DetectCureTDL3: IrpHandler (24) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (25) addr: 804FA87E
16:46:41:328 1276 DetectCureTDL3: IrpHandler (26) addr: 804FA87E
16:46:41:328 1276 KLMD_ReadMem: Trying to ReadMemory 0xF746A864[0x400]
16:46:41:328 1276 TDL3_StartIoHookDetect: CheckParameters: 0, 00000000, 0
16:46:41:328 1276 TDL3_FileDetect: Processing driver: atapi
16:46:41:328 1276 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\atapi.sys
16:46:41:328 1276 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\atapi.sys
16:46:41:328 1276 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: Clean
16:46:41:328 1276
16:46:41:328 1276 Completed
16:46:41:328 1276
16:46:41:328 1276 Results:
16:46:41:328 1276 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
16:46:41:328 1276 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
16:46:41:328 1276 File objects infected / cured / cured on reboot: 0 / 0 / 0
16:46:41:343 1276
16:46:41:343 1276 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000
16:46:41:343 1276 UtilityDeinit: KLMD(ARK) unloaded successfully

Hi,

gut, dann lass MAM mal laufen und poste das Log...

chris

Hi,

was hat mam gefunden?

Ansonsten hier nochmal ein Reg-Script, das die restlichen REgKeys zurückbiegt...
Wie immer in das notepad kopieren unter exe2.reg speichern und per doppelklick ausführen und zusammenführen. Browser sollten jetzt wieder laufen...

chris