Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Musik im Hintergrund,Pop-ups in IE-Fenstern (https://www.trojaner-board.de/89026-musik-hintergrund-pop-ups-ie-fenstern.html)

rafi911 02.08.2010 18:46
Musik im Hintergrund,Pop-ups in IE-Fenstern
 
Hallo,

habe ein Problem mit meinem XP Rechner.
Ich höre im Hintergrund öffters Musik wie Wellenrauschen und Pop ups mit Werbung im Internetexplorer, obwohl ich in Zonealarm den Internetexplorer gesperrt habe :-(

Hat jemand eine Idee?
Virenscanner Avira findet auch nichts :-(
Das Logfile wurde erstellt, als das Pop up offen war.

Danke für die Hilfe.

Gruß
Rainer


HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46:53, on 02.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\NILaunch.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\igfxext.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WD SmartWare Drive Manager (WDDMService) - WDC - C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe

--
End of file - 7547 bytes
--- --- ---

rafi911 02.08.2010 19:56
Hier die Logfile, wennn die Musik im Hintergrund spielt.

Gruß
Rainer

HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:54:25, on 02.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\NILaunch.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\igfxext.exe
C:\Dokumente und Einstellungen\Wir\Eigene Dateien\Neuer Ordner\OTL.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WD SmartWare Drive Manager (WDDMService) - WDC - C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe

--
End of file - 7697 bytes
--- --- ---

Swisstreasure 02.08.2010 19:57
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Bitte keine Code Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

rafi911 02.08.2010 20:11
Hallo,

hier das File.

Danke!!


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 125):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\System32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\System32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F30000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB9F10000 fltmgr.sys
0xB9EFE000 sr.sys
0xB9EE7000 KSecDD.sys
0xB9E5A000 Ntfs.sys
0xB9E2D000 NDIS.sys
0xB9E19000 srescan.sys
0xB9DFF000 Mup.sys
0xBA580000 \SystemRoot\System32\DRIVERS\CmBatt.sys
0xBA584000 \SystemRoot\System32\DRIVERS\wmiacpi.sys
0xB914C000 \SystemRoot\System32\DRIVERS\igxpmp32.sys
0xB9138000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xBA3D8000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB9114000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xBA3E0000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xB90EF000 \SystemRoot\System32\DRIVERS\HDAudBus.sys
0xB8F6F000 \SystemRoot\System32\DRIVERS\athw.sys
0xBA2C8000 \SystemRoot\System32\DRIVERS\l1c51x86.sys
0xBA2D8000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xBA3E8000 \SystemRoot\System32\DRIVERS\DKbFltr.sys
0xBA3F0000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xB8F3E000 \SystemRoot\System32\DRIVERS\SynTP.sys
0xBA5C0000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xBA2E8000 \SystemRoot\System32\DRIVERS\WDFLDR.SYS
0xB8EC2000 \SystemRoot\System32\Drivers\wdf01000.sys
0xBA3F8000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xBA2F8000 \SystemRoot\System32\DRIVERS\imapi.sys
0xBA308000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xBA318000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB8E9F000 \SystemRoot\System32\DRIVERS\ks.sys
0xBA118000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xBA6FB000 \SystemRoot\System32\DRIVERS\audstub.sys
0xBA128000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xBA58C000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB8E88000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xBA138000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xBA148000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xBA400000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB8E77000 \SystemRoot\System32\DRIVERS\psched.sys
0xBA158000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xBA408000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xBA410000 \SystemRoot\System32\DRIVERS\raspti.sys
0xBA168000 \SystemRoot\System32\DRIVERS\termdd.sys
0xBA5C2000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB8E19000 \SystemRoot\System32\DRIVERS\update.sys
0xBA594000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xBA178000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA1A8000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xA80AA000 \SystemRoot\system32\drivers\CHDAU32.sys
0xA8086000 \SystemRoot\system32\drivers\portcls.sys
0xBA1B8000 \SystemRoot\system32\drivers\drmk.sys
0xA6E93000 \SystemRoot\system32\DRIVERS\klif.sys
0xBA448000 \SystemRoot\System32\DRIVERS\usbccgp.sys
0xBA5CE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA7BF000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5D0000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA450000 \SystemRoot\System32\drivers\vga.sys
0xBA5D2000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5D4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA458000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA460000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA550000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xA6E40000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xA6DE7000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xA6DBF000 \SystemRoot\System32\DRIVERS\netbt.sys
0xA6D5F000 \SystemRoot\System32\vsdatant.sys
0xA6D39000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xBA55C000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xBA268000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xBA478000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xA6CEF000 \SystemRoot\System32\drivers\afd.sys
0xBA278000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xBA288000 \SystemRoot\System32\DRIVERS\netbios.sys
0xBA480000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA6C2D000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
0xBA56C000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xBA488000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
0xA6C02000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xA6B92000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xBA2A8000 \SystemRoot\System32\Drivers\Fips.SYS
0xA6B76000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA5DE000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA8327000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA6B36000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA612000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA805E000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA490000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA773000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF25B000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA6A0A000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA6980000 \??\C:\WINDOWS\system32\drivers\ACEDRV07.sys
0xA6A02000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xA656B000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xA63D4000 \SystemRoot\System32\DRIVERS\srv.sys
0xA62A7000 \SystemRoot\system32\drivers\wdmaud.sys
0xA650B000 \SystemRoot\system32\drivers\sysaudio.sys
0xA5D38000 \SystemRoot\System32\Drivers\HTTP.sys
0xA55FF000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 48):
0 System Idle Process
4 System
652 C:\WINDOWS\system32\smss.exe
708 csrss.exe
732 C:\WINDOWS\system32\winlogon.exe
776 C:\WINDOWS\system32\services.exe
788 C:\WINDOWS\system32\lsass.exe
944 C:\WINDOWS\system32\svchost.exe
1024 svchost.exe
1064 C:\WINDOWS\system32\svchost.exe
1152 svchost.exe
1280 svchost.exe
1324 C:\WINDOWS\system32\ZoneLabs\vsmon.exe
1532 C:\WINDOWS\explorer.exe
1604 C:\WINDOWS\system32\svchost.exe
1848 C:\WINDOWS\system32\BRSVC01A.EXE
1868 C:\WINDOWS\system32\BRSS01A.EXE
1876 C:\WINDOWS\system32\spoolsv.exe
1924 C:\Programme\Avira\AntiVir Desktop\sched.exe
2024 svchost.exe
592 C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
380 C:\Programme\Avira\AntiVir Desktop\avguard.exe
632 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
688 C:\Programme\Java\jre6\bin\jqs.exe
972 C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
1260 C:\WINDOWS\system32\svchost.exe
1412 C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
1664 C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
1696 C:\WINDOWS\system32\svchost.exe
2140 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2240 alg.exe
2612 C:\WINDOWS\system32\hkcmd.exe
2752 C:\WINDOWS\system32\igfxpers.exe
2772 C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
2792 C:\PROGRA~1\LAUNCH~1\LManager.exe
2860 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
2912 C:\Programme\FreePDF_XP\fpassist.exe
2964 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
3088 C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
3096 C:\WINDOWS\system32\NILaunch.exe
3104 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
3132 C:\WINDOWS\system32\igfxsrvc.exe
3228 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
3236 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
3280 C:\WINDOWS\system32\igfxext.exe
2960 C:\Programme\Mozilla Firefox\firefox.exe
3788 C:\Dokumente und Einstellungen\Wir\Desktop\MBRCheck.exe
1496 <unknown>

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600BEVT-22ZCT0, Rev: 11.01A11

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: 577D32AAF73262E9E63F17622A7DCCD30B7A8E5B


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

Swisstreasure 02.08.2010 21:43
Schritt 1

Lösche bitte die vorhandenen MBRCheck.txt. Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei
  • Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
  • Enter your choice: 2
  • Enter the physical disk number to fix (0-99, -1 to cancel): 0
  • PLease select the MBR code to write to this drive: 1
Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!! http://img831.imageshack.us/img831/5659/mbr.jpg
  • Gib nun Yes ein und bestätige mit ENTER.
  • Starte den Rechner neu auf.
Nach dem Neustart starte bitte MBRCheck.exe erneut. Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten

Schritt 2

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Vorbereitung und wichtige Hinweise
  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
  • Liste der zu deaktivierenden Programme.
    Bei Unklarheiten bitte vorher fragen.
  • Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.

Kurzanleitung zur Installation der Wiederherstellungskonsole und zur Anwendung
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • Akzeptiere die Bedingungen (Disclaimer) mit "Ja".
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist.
    Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
** Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.



Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen![/QUOTE]

rafi911 03.08.2010 16:49
Log Schritt 1:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 125):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\System32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\System32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F30000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB9F10000 fltmgr.sys
0xB9EFE000 sr.sys
0xB9EE7000 KSecDD.sys
0xB9E5A000 Ntfs.sys
0xB9E2D000 NDIS.sys
0xB9E19000 srescan.sys
0xB9DFF000 Mup.sys
0xBA57C000 \SystemRoot\System32\DRIVERS\CmBatt.sys
0xBA580000 \SystemRoot\System32\DRIVERS\wmiacpi.sys
0xB912E000 \SystemRoot\System32\DRIVERS\igxpmp32.sys
0xB911A000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xBA3D0000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB90F6000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xBA3D8000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xB90D1000 \SystemRoot\System32\DRIVERS\HDAudBus.sys
0xB8F51000 \SystemRoot\System32\DRIVERS\athw.sys
0xBA138000 \SystemRoot\System32\DRIVERS\l1c51x86.sys
0xBA148000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xBA3E0000 \SystemRoot\System32\DRIVERS\DKbFltr.sys
0xBA3E8000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xB8F20000 \SystemRoot\System32\DRIVERS\SynTP.sys
0xBA5C4000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xBA158000 \SystemRoot\System32\DRIVERS\WDFLDR.SYS
0xB8EA4000 \SystemRoot\System32\Drivers\wdf01000.sys
0xBA3F0000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xBA168000 \SystemRoot\System32\DRIVERS\imapi.sys
0xBA178000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xBA188000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB8E81000 \SystemRoot\System32\DRIVERS\ks.sys
0xBA198000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xBA715000 \SystemRoot\System32\DRIVERS\audstub.sys
0xBA1A8000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xBA588000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB8E6A000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xBA1B8000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xBA1C8000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xBA3F8000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB8E59000 \SystemRoot\System32\DRIVERS\psched.sys
0xBA1D8000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xBA400000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xBA408000 \SystemRoot\System32\DRIVERS\raspti.sys
0xBA1E8000 \SystemRoot\System32\DRIVERS\termdd.sys
0xBA5C6000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB8DFB000 \SystemRoot\System32\DRIVERS\update.sys
0xBA590000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xBA1F8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA228000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xA81A2000 \SystemRoot\system32\drivers\CHDAU32.sys
0xA817E000 \SystemRoot\system32\drivers\portcls.sys
0xBA238000 \SystemRoot\system32\drivers\drmk.sys
0xA6E55000 \SystemRoot\system32\DRIVERS\klif.sys
0xBA460000 \SystemRoot\System32\DRIVERS\usbccgp.sys
0xBA5E0000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA6FE000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5E2000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA468000 \SystemRoot\System32\drivers\vga.sys
0xBA5E4000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5E8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA470000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA478000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA55C000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xA6E22000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xA6DC9000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xA6DA1000 \SystemRoot\System32\DRIVERS\netbt.sys
0xA6D41000 \SystemRoot\System32\vsdatant.sys
0xA6D1B000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xA6CF9000 \SystemRoot\System32\drivers\afd.sys
0xBA2E8000 \SystemRoot\System32\DRIVERS\netbios.sys
0xBA480000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA6CAF000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
0xBA570000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xBA308000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xBA488000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xBA490000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
0xA6C84000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xA6C14000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xBA318000 \SystemRoot\System32\Drivers\Fips.SYS
0xA8295000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xA6B58000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA5EE000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA836A000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xA832A000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA6B18000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA632000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xBA54C000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA380000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA70E000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF25B000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA69EC000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA698A000 \??\C:\WINDOWS\system32\drivers\ACEDRV07.sys
0xA697A000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xA654D000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xA63B6000 \SystemRoot\System32\DRIVERS\srv.sys
0xA62D9000 \SystemRoot\system32\drivers\wdmaud.sys
0xA82EA000 \SystemRoot\system32\drivers\sysaudio.sys
0xA5D1A000 \SystemRoot\System32\Drivers\HTTP.sys
0xA5791000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 50):
0 System Idle Process
4 System
656 C:\WINDOWS\system32\smss.exe
704 csrss.exe
728 C:\WINDOWS\system32\winlogon.exe
772 C:\WINDOWS\system32\services.exe
784 C:\WINDOWS\system32\lsass.exe
940 C:\WINDOWS\system32\svchost.exe
1024 svchost.exe
1064 C:\WINDOWS\system32\svchost.exe
1148 svchost.exe
1220 svchost.exe
1316 C:\WINDOWS\system32\ZoneLabs\vsmon.exe
1532 C:\WINDOWS\explorer.exe
1608 C:\WINDOWS\system32\svchost.exe
1816 C:\WINDOWS\system32\BRSVC01A.EXE
1836 C:\WINDOWS\system32\BRSS01A.EXE
1844 C:\WINDOWS\system32\spoolsv.exe
1956 C:\Programme\Avira\AntiVir Desktop\sched.exe
2000 svchost.exe
164 C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
176 C:\Programme\Avira\AntiVir Desktop\avguard.exe
180 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
188 C:\Programme\Java\jre6\bin\jqs.exe
256 C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
620 C:\WINDOWS\system32\svchost.exe
380 C:\WINDOWS\system32\svchost.exe
900 C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
1284 C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
2076 C:\WINDOWS\system32\wuauclt.exe
2340 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2468 alg.exe
2600 wmiprvse.exe
2984 C:\WINDOWS\system32\hkcmd.exe
3040 C:\WINDOWS\system32\igfxpers.exe
3072 C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
3076 C:\WINDOWS\system32\igfxsrvc.exe
3148 C:\PROGRA~1\LAUNCH~1\LManager.exe
3224 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
3232 C:\Programme\FreePDF_XP\fpassist.exe
3288 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
3304 C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
3336 C:\WINDOWS\system32\NILaunch.exe
3360 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
3420 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
3548 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
3556 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
3736 C:\WINDOWS\system32\igfxext.exe
2524 C:\Programme\Mozilla Firefox\firefox.exe
1928 C:\Dokumente und Einstellungen\Wir\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600BEVT-22ZCT0, Rev: 11.01A11

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: 577D32AAF73262E9E63F17622A7DCCD30B7A8E5B


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 1Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes
Error opening disk (2)!


Done!

rafi911 03.08.2010 17:06
Logfile Schritt2

Combofix Logfile:
Code:
ComboFix 10-07-31.04 - Wir 03.08.2010  17:55:33.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1977.1409 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Wir\Desktop\cofi.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Wir\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf

.
MBR is infected with the Whistler Bootkit !!

(((((((((((((((((((((((  Dateien erstellt von 2010-07-03 bis 2010-08-03  ))))))))))))))))))))))))))))))
.

2010-08-02 20:21 . 2010-08-02 20:21        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Uniblue
2010-08-02 20:21 . 2010-08-02 20:21        --------        d-----w-        c:\programme\Uniblue
2010-08-02 18:27 . 2010-08-02 18:27        63488        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-08-02 18:27 . 2010-08-02 18:27        52224        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-08-02 18:27 . 2010-08-02 18:27        117760        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-08-02 18:26 . 2010-08-02 18:26        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\SUPERAntiSpyware.com
2010-08-02 18:26 . 2010-08-02 18:26        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-08-02 18:26 . 2010-08-02 18:26        --------        d-----w-        c:\programme\SUPERAntiSpyware
2010-08-01 09:19 . 2010-08-01 09:19        --------        d-----w-        c:\programme\CCleaner
2010-08-01 07:38 . 2010-07-21 17:50        81920        ----a-w-        c:\windows\system32\remover.exe
2010-08-01 07:25 . 2010-08-01 07:25        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Malwarebytes
2010-08-01 07:25 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-01 07:25 . 2010-08-01 07:25        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-01 07:25 . 2010-08-01 07:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-01 07:25 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-07-20 17:16 . 2010-07-20 17:16        --------        d-----w-        C:\found.000
2010-07-17 07:19 . 2010-07-17 07:19        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-07-17 07:19 . 2010-07-17 07:20        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\NCH
2010-07-16 19:44 . 2010-07-16 19:44        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-07-16 19:44 . 2010-07-16 19:44        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\NCH
2010-07-16 19:29 . 2010-07-16 19:29        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\NCH Software
2010-07-16 19:29 . 2010-07-17 09:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NCH Software
2010-07-16 19:29 . 2010-07-16 19:29        52224        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}\components\FFExternalAlert.dll
2010-07-16 19:29 . 2010-07-16 19:29        101376        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}\components\RadioWMPCore.dll
2010-07-16 19:29 . 2010-07-16 19:29        --------        d-----w-        c:\programme\Conduit
2010-07-16 19:29 . 2010-07-16 19:29        --------        d-----w-        c:\dokumente und einstellungen\Wir\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-07-16 19:29 . 2010-07-17 09:32        --------        d-----w-        c:\programme\NCH
2010-07-16 19:28 . 2010-07-17 09:19        --------        d-----w-        c:\programme\NCH Software
2010-07-16 19:17 . 2010-07-16 19:20        --------        dc-h--w-        c:\windows\ie8
2010-07-14 05:22 . 2010-06-14 14:31        744448        -c----w-        c:\windows\system32\dllcache\helpsvc.exe
2010-07-07 10:34 . 2010-07-07 10:34        --------        d-sh--w-        c:\windows\system32\config\systemprofile\PrivacIE

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-03 16:02 . 2009-10-21 19:20        74397728        --sha-w-        c:\windows\system32\drivers\fidbox.dat
2010-08-03 15:52 . 2009-08-21 14:48        68504        ----a-w-        c:\dokumente und einstellungen\Wir\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-03 15:45 . 2009-10-21 19:20        876380        --sha-w-        c:\windows\system32\drivers\fidbox.idx
2010-08-01 20:04 . 2010-08-02 06:02        2522112 begin_of_the_skype_highlighting**************02 2522112******end_of_the_skype_highlighting        ----a-w-        c:\windows\Internet Logs\xDB3.tmp
2010-08-01 09:25 . 2009-09-10 20:43        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-31 16:35 . 2010-06-03 13:11        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Skype
2010-07-31 15:41 . 2010-06-03 13:14        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\skypePM
2010-07-18 05:32 . 2002-08-29 12:00        80488        ----a-w-        c:\windows\system32\perfc007.dat
2010-07-18 05:32 . 2002-08-29 12:00        448970        ----a-w-        c:\windows\system32\perfh007.dat
2010-07-10 09:42 . 2010-05-27 16:46        --------        d-----w-        c:\programme\TomTom HOME 2
2010-07-04 08:57 . 2010-07-04 08:57        --------        d-----w-        c:\programme\Trend Micro
2010-07-04 07:36 . 2010-07-04 07:36        503808        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-61b68702-n\msvcp71.dll
2010-07-04 07:36 . 2010-07-04 07:36        499712        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-61b68702-n\jmc.dll
2010-07-04 07:36 . 2010-07-04 07:36        348160        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-61b68702-n\msvcr71.dll
2010-07-04 07:36 . 2010-07-04 07:36        12800        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-13dfc789-n\decora-d3d.dll
2010-07-04 07:36 . 2010-07-04 07:36        61440        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-13dfc789-n\decora-sse.dll
2010-07-04 07:36 . 2010-07-04 07:36        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-07-04 07:35 . 2009-12-30 07:50        --------        d-----w-        c:\programme\Java
2010-07-04 07:12 . 2009-08-21 20:08        4990        ----a-w-        c:\windows\Help\hhcolreg.dat
2010-07-03 21:22 . 2010-07-03 21:22        189384        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-07-03 16:16 . 2009-09-30 09:39        --------        d-----w-        c:\programme\Windows Media Connect 2
2010-07-03 16:07 . 2009-10-22 19:59        --------        d-----w-        c:\programme\Disney Interactive
2010-07-03 16:02 . 2010-05-30 16:21        --------        d-----w-        c:\programme\JDownloader
2010-06-14 14:31 . 2009-08-20 20:52        744448        ----a-w-        c:\windows\PCHealth\HelpCtr\Binaries\helpsvc.exe
2010-06-13 10:52 . 2010-06-13 10:52        --------        d-----w-        c:\programme\Direct MP3 Joiner
2010-06-13 10:17 . 2010-06-13 10:10        --------        d-----w-        c:\programme\CD to MP3 Freeware
2010-06-13 06:22 . 2010-06-11 20:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2010-06-13 06:22 . 2010-06-11 20:26        --------        d-----w-        c:\programme\Gemeinsame Dateien\logishrd
2010-06-12 10:46 . 2010-06-12 10:47        2275840        ----a-w-        c:\windows\Internet Logs\xDB2.tmp
2010-06-11 20:29 . 2010-06-11 20:29        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Leadertech
2010-06-10 19:56 . 2010-01-07 07:09        8475208        ----a-w-        c:\windows\Internet Logs\tvDebug.zip
2010-06-03 13:14 . 2010-06-03 13:14        56        ---ha-w-        c:\windows\system32\ezsidmv.dat
2010-05-20 11:30 . 2009-10-22 20:01        43520        ----a-w-        c:\windows\system32\CmdLineExt03.dll
2010-05-09 16:42 . 2010-05-09 16:42        4710        ----a-r-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Microsoft\Installer\{560E96B3-356D-4572-9FE3-B44F9AB92622}\_294823.exe
2010-05-09 16:42 . 2010-05-09 16:42        4710        ----a-r-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Microsoft\Installer\{560E96B3-356D-4572-9FE3-B44F9AB92622}\_18be6784.exe
2010-05-06 10:31 . 2002-08-29 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-07-19 2403568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2008-06-17 150040]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2008-06-17 170520]
"Persistence"="c:\windows\System32\igfxpers.exe" [2008-06-17 141848]
"AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-06-09 870920]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-03-05 1434920]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-04 417792]
"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"Net-It Launcher"="c:\windows\system32\NILaunch.exe" [1998-02-05 24576]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21        548352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4100:UDP"= 4100:UDP:uPNP Router Control Port
"86:TCP"= 86:TCP:BroadCam Video Streaming Server Web Server
"1935:TCP"= 1935:TCP:BroadCam Video Streaming Server Flash Video Server

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.10.2009 21:08 108289]
R2 WDDMService;WD SmartWare Drive Manager;c:\programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [13.11.2009 12:28 110592]
R2 WDSmartWareBackgroundService;WD SmartWare Background Service;c:\programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe [16.06.2009 09:58 20480]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [20.08.2009 07:32 39424]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [20.08.2009 23:08 164864]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [08.01.2010 18:02 11520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper        REG_MULTI_SZ          getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-07-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&q=
FF - prefs.js: network.proxy.type - 4
FF - component: c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}\components\RadioWMPCore.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-RegistryBooster - c:\programme\Uniblue\RegistryBooster\launcher.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-03 18:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

c:\programme\Internet Explorer\iexplore.exe [2080] 0x89CE0BF0
c:\programme\Internet Explorer\iexplore.exe [1300] 0x887D3AF8
Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e0,aa,0d,da,ac,60,d1,42,bd,8d,0a,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e0,aa,0d,da,ac,60,d1,42,bd,8d,0a,\

[HKEY_USERS\S-1-5-21-117609710-1409082233-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{925E058A-9A62-2C41-9DBE-D250D23052DD}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oammhmedbmeglaoombcedkkeiahnji"=hex:64,61,6c,63,6c,6b,6e,69,00,85
"oainhpkcijlfffkfmiebjedlpoaeni"=hex:6a,61,6c,63,61,6c,6a,6c,6b,61,63,6a,68,62,
  62,68,65,70,70,6f,00,00
"naomnpjeookdkeofdjbakaagdien"=hex:6a,61,6c,63,61,6c,6a,6c,6b,61,63,6a,68,62,
  62,68,65,70,70,6f,00,00

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG12.00.00.01PROFESSIONAL"="E0F15C417A4C75A6B567327A926BD3FB005B3C945A11B70146D028E4BEB086CCEF7F9632E5E9B11F850488FCDA7E4B2748A410D485E563679322DFC07C5EBC21161DA0B51D9A4554D305981A7E01F2CEF61CA65F236ED8C6FB0B08A891169D0E2182737DA968B850286B8115D193075C752E61A974052988E5006660CD8BB01E90CA5DBF067EA75B449BB4B49E7AD97ADC2679AB30A6F958E85619347395131F9CF67EB8A2AC42841A5EFA47A29ECF1A00B57AE27FF50828D14890EF3930F2232EE74E2663674D21CEDE6D1A8D8D616FDEF244CF80B81FAE217491E6CA78927F626716CA214521C5BD2FFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6171C11EC38DE3DA9C6AECB7A5D14078EDD5E5BE2F6E6676B13BFBAC3087F590DDA01C1EE527BF70BB176A27C3C248237B02C2839CC83F5D2F23EC19677F428A6C7B0EDE755ECF6EA00A3B3F3F7870E053FC5315446F6B98860AAAE286AAD451574E1510F5067737CC0E1D104B6817CBDD849C373C89621C7C6E977B0507C509A3D22DCB4748055A6608E84B108811D0D9E80A470635187A392D137815A6DCC4CFE77243DB47CE8A34DFAF816402BA5732EAAB63A6D472CFD37ACAB7C7EBC21149DDADCA0C6D75E037CEC00DEF655B1C4ACF806517ECAAF91273AB99AF65D1AB0FE35E56A26BF4A26E51C8E4D098C3B28C31140CDF4669AE95EAE6766C3F266328E693DBB131725C48337BDB5970FA69A9F0EB659F057D4695AAF5FFDA3599900B9C908C81073CB69555D4A0284D238E970FB5F32588B2F431D59F1169F1BAAD2F49F0D5A64A17D7360A495AF787C183B6BDF542B54A9DA812B398FF5017C763836A6394B1B1E6094AB95A3CF6269D506482DD229D1896E010E5350F6D471BA14778D9B0E031CFA55422E9E07EDA8E196454FBDA801386470541EEE8BEEA31B19377968A4AF82BB8EB4DED190937E910CA2A39AB559759AD68F85CBB4E47120537A8277A8F86B70EF960CAEB787E09E5A24FC13F311B5540CD467670A10EBB32045B44446F825507C7D10CB5EC97CA5C9129FF418A8A137BDBE97EA37105827B02290EFBC0FB3F08A88B65F7A18AFA8753AC7B3EEDE96CDEA695D1FFB45B02C8AA1083E625ECB5144D441C89377100ECC6DA2E254B82486E9F7F2742AD722D9895585959D4DD750A907E58749AE631D157F513D3C011034620F08FD2BAF0EAD58D364046B8978320D46CCBF4B4BA604E3C9EA222CC3D00E52593F71F7FC0A85FAB873B65C007EA015BE123C5F1E86D4A629F911BE52952C89842F2921B1E025C6A1788494E370273D9FC8E85EB8E9859DFC7AB2A2C23C0F2DC0E4264A820E3464B12BE24B2D0936D31DF257B67667EC5B2A60CE98EB5B9736445C8A29EA"
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2010-08-03  18:04:34
ComboFix-quarantined-files.txt  2010-08-03 16:04

Vor Suchlauf: 6.103.547.904 Bytes frei
Nach Suchlauf: 6.299.070.464 Bytes frei

- - End Of File - - D51AFA198CC4C6B3DF12CD86ACFFE40A
--- --- ---

Code:


1.25
7-Zip 4.65
AAVUpdateManager
ACDSee
Adobe Download Manager
Adobe Flash Player 10 Plugin
Adobe Reader 9.3.3 - Deutsch
Advertising Center
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
Audiograbber 1.83 SE
Avira AntiVir Personal - Free Antivirus
Broadcom Driver v4.170.25.12_Foxconn Installation Program
Brother HL-1430
Caillous Vorschule
CBL Daten-Shredder
CCleaner
Conexant HD Audio
Direct MP3 Joiner version 3.0.1.5
Disneys Winnie Puuhs Bilderbuch
Firefox 3.6 WEB.DE Edition
FRANKIE - LUSTIGE WELTREISE
Free CD to MP3 Converter
FreePDF (Remove only)
GPL Ghostscript 8.64
HijackThis 2.0.2
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB976098-v2)
Hotfix für Windows XP (KB979306)
Hotfix für Windows XP (KB981793)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
Hotfix for Windows XP (KB976002-v5)
Intel(R) Graphics Media Accelerator Driver
Java Auto Updater
Java(TM) 6 Update 20
Launch Manager
Lotus SmartSuite Version 9.5
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
Microsoft National Language Support Downlevel APIs
Microsoft Office 2000 Disc 2
Microsoft Office 2000 Premium
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Works 6-9 Converter
MozBackup 1.4.10
Mozilla Firefox (3.6.8)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Nero - Burning Rom
Nero 9 Essentials
Nero ControlCenter
Nero Installer
Nero Online Upgrade
Nero StartSmart
Nero StartSmart OEM
neroxml
Opera 9.64
Perfect FTP
PowerDVD
QuickTime
Ralink Wireless LAN Installation Program for XP v1.4.0.0
Realtek High Definition Audio Driver
RedMon - Redirection Port Monitor
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows Media Player (KB979402)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 9 (KB911565)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2286198)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371-v2)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB971961)
Sicherheitsupdate für Windows XP (KB972260)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977165)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978251)
Sicherheitsupdate für Windows XP (KB978262)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979559)
Sicherheitsupdate für Windows XP (KB979683)
Sicherheitsupdate für Windows XP (KB980195)
Sicherheitsupdate für Windows XP (KB980218)
Sicherheitsupdate für Windows XP (KB980232)
Sicherheitsupdate für Windows XP (KB981349)
Sicherheitsupdate für Windows XP (KB982381)
Skype Toolbars
Skype™ 4.2
Spybot - Search & Destroy
Steuer-Spar-Erklärung 2009
Steuer-Spar-Erklärung 2010
SUPERAntiSpyware
Surf & E-Mail-Stick
Synaptics Pointing Device Driver
TeamViewer 4
Update für Windows Internet Explorer 8 (KB976662)
Update für Windows Internet Explorer 8 (KB982632)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
USB2.0 Card Reader Software
WBFS Manager 3.0
WD SmartWare
WebFldrs XP
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows XP Service Pack 3
Xilisoft DPG Converter
XML Paper Specification Shared Components Language Pack 1.0
ZoneAlarm

Swisstreasure 03.08.2010 18:09
Da hat etwas nicht geklappt mit dem MBRCheck. Mach es GENAU nach Anleitung.

Lösche bitte die vorhandenen MBRCheck.txt. Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei
  • Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
  • Enter your choice: 2
  • Enter the physical disk number to fix (0-99, -1 to cancel): x
  • PLease select the MBR code to write to this drive: x
Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!! http://img831.imageshack.us/img831/5659/mbr.jpg
  • Gib nun Yes ein und bestätige mit ENTER.
  • Starte den Rechner neu auf.
Nach dem Neustart starte bitte MBRCheck.exe erneut. Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten

rafi911 03.08.2010 18:18
Sorry!!
Ich hoffe jetzt passt es.
Die BAK-Datei kann ich nicht öffnen..

Rainer



MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 124):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\System32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\System32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F30000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB9F10000 fltmgr.sys
0xB9EFE000 sr.sys
0xB9EE7000 KSecDD.sys
0xB9E5A000 Ntfs.sys
0xB9E2D000 NDIS.sys
0xB9E19000 srescan.sys
0xB9DFF000 Mup.sys
0xBA57C000 \SystemRoot\System32\DRIVERS\CmBatt.sys
0xBA580000 \SystemRoot\System32\DRIVERS\wmiacpi.sys
0xB915E000 \SystemRoot\System32\DRIVERS\igxpmp32.sys
0xB914A000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xBA3C0000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB9126000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xBA3C8000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xB9101000 \SystemRoot\System32\DRIVERS\HDAudBus.sys
0xB8F81000 \SystemRoot\System32\DRIVERS\athw.sys
0xBA118000 \SystemRoot\System32\DRIVERS\l1c51x86.sys
0xBA128000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xBA3D0000 \SystemRoot\System32\DRIVERS\DKbFltr.sys
0xBA3D8000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xB8F50000 \SystemRoot\System32\DRIVERS\SynTP.sys
0xBA5C4000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xBA138000 \SystemRoot\System32\DRIVERS\WDFLDR.SYS
0xB8ED4000 \SystemRoot\System32\Drivers\wdf01000.sys
0xBA3E0000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xBA148000 \SystemRoot\System32\DRIVERS\imapi.sys
0xBA158000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xBA168000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB8EB1000 \SystemRoot\System32\DRIVERS\ks.sys
0xBA178000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xBA6FA000 \SystemRoot\System32\DRIVERS\audstub.sys
0xBA188000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xBA588000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB8E9A000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xBA198000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xBA1A8000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xBA3E8000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB8E89000 \SystemRoot\System32\DRIVERS\psched.sys
0xBA1B8000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xBA3F0000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xBA3F8000 \SystemRoot\System32\DRIVERS\raspti.sys
0xBA1C8000 \SystemRoot\System32\DRIVERS\termdd.sys
0xBA5C6000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB8E2B000 \SystemRoot\System32\DRIVERS\update.sys
0xBA590000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xBA1D8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA1F8000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xA80BC000 \SystemRoot\system32\drivers\CHDAU32.sys
0xA8098000 \SystemRoot\system32\drivers\portcls.sys
0xBA208000 \SystemRoot\system32\drivers\drmk.sys
0xA6E85000 \SystemRoot\system32\DRIVERS\klif.sys
0xBA440000 \SystemRoot\System32\DRIVERS\usbccgp.sys
0xBA5D6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA6E7000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5D8000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA448000 \SystemRoot\System32\drivers\vga.sys
0xBA5DA000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5DC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA450000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA458000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA558000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xA6E52000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xA6DF9000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xA6DD1000 \SystemRoot\System32\DRIVERS\netbt.sys
0xA6D71000 \SystemRoot\System32\vsdatant.sys
0xA6D4B000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xA6D29000 \SystemRoot\System32\drivers\afd.sys
0xBA2B8000 \SystemRoot\System32\DRIVERS\netbios.sys
0xBA460000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA6D07000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
0xBA568000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xBA2D8000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xBA468000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xBA470000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
0xA6CB4000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xA6C44000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xBA2E8000 \SystemRoot\System32\Drivers\Fips.SYS
0xBA578000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xA6B88000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA5E2000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xBA318000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xA837A000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA6B48000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA622000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA6CF7000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA4A0000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA6EF000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF25B000 \SystemRoot\System32\igxpdx32.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA6A1C000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA69BA000 \??\C:\WINDOWS\system32\drivers\ACEDRV07.sys
0xA6A30000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xA64DD000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xA63E6000 \SystemRoot\System32\DRIVERS\srv.sys
0xA62E1000 \SystemRoot\system32\drivers\wdmaud.sys
0xA658A000 \SystemRoot\system32\drivers\sysaudio.sys
0xA5D4A000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 48):
0 System Idle Process
4 System
656 C:\WINDOWS\system32\smss.exe
704 csrss.exe
728 C:\WINDOWS\system32\winlogon.exe
772 C:\WINDOWS\system32\services.exe
784 C:\WINDOWS\system32\lsass.exe
940 C:\WINDOWS\system32\svchost.exe
1020 svchost.exe
1060 C:\WINDOWS\system32\svchost.exe
1152 svchost.exe
1276 svchost.exe
1372 C:\WINDOWS\system32\ZoneLabs\vsmon.exe
1528 C:\WINDOWS\explorer.exe
1608 C:\WINDOWS\system32\svchost.exe
1844 C:\WINDOWS\system32\BRSVC01A.EXE
1860 C:\WINDOWS\system32\spoolsv.exe
1868 C:\WINDOWS\system32\BRSS01A.EXE
172 C:\Programme\Avira\AntiVir Desktop\sched.exe
432 svchost.exe
596 C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
608 C:\Programme\Avira\AntiVir Desktop\avguard.exe
620 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
700 C:\Programme\Java\jre6\bin\jqs.exe
788 C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
1176 C:\WINDOWS\system32\svchost.exe
1324 C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
1460 C:\WINDOWS\system32\svchost.exe
1292 C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
2084 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2228 alg.exe
2328 wmiprvse.exe
2580 C:\WINDOWS\system32\hkcmd.exe
2728 C:\WINDOWS\system32\igfxpers.exe
2744 C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
2776 C:\WINDOWS\system32\igfxsrvc.exe
2772 C:\PROGRA~1\LAUNCH~1\LManager.exe
2860 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
2880 C:\Programme\FreePDF_XP\fpassist.exe
2924 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2940 C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
3040 C:\WINDOWS\system32\NILaunch.exe
3060 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
3136 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
3144 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
3296 C:\WINDOWS\system32\igfxext.exe
4076 C:\Programme\Mozilla Firefox\firefox.exe
3084 C:\Dokumente und Einstellungen\Wir\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600BEVT-22ZCT0, Rev: 11.01A11

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: 577D32AAF73262E9E63F17622A7DCCD30B7A8E5B


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

Swisstreasure 03.08.2010 18:30
♦ lade Dir das Tool Bootkit Remover herunter
♦ das ist RAR (Dateiformat), also Entpacke die Datei auf Deinen Desktop
- Vista User rechter Mausklick und wähle "Ausführen als Administrator
♦ Doppelklick in dem ordner auf remove.exe
- Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
♦ Rechter Mausklick auf dem Bildschirm und klicke auf Select All
♦ Drücke Strg + C (an der Tastatur) zum Kopieren der Daten
♦ Öffne dein Notepad und drücke Strg + V die Daten einfügen

Poste dann bitte den Inhalt des Logfiles

rafi911 03.08.2010 18:40
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 3e7f1794f3bd10045b6b894b29c26794

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Swisstreasure 03.08.2010 18:44
Ist die Musik noch vorhanden?

rafi911 03.08.2010 18:46
Hallo Swiss,

ich habe die Musik gerade wieder gehört :-(


Gruß
Rainer

Swisstreasure 03.08.2010 18:48
Hast Du nach dem letzten MBR Check neu gestartet? Wenn nicht dann mach dies und führen den Bootkitremover erneut aus.

Nein wir sind noch nicht durch. Wenn der MBR wieder clean ist gehts weiter. Also Neustart!

rafi911 03.08.2010 18:59
so Neustart und nochmals den Bookit Remover...
Immer noch Musik :-(



Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 3e7f1794f3bd10045b6b894b29c26794

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Swisstreasure 03.08.2010 19:02
Schritt 1

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
  • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
    Vista-User mit Rechtsklick und als Administrator starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

    Code:
    :contents
    C:\boot.ini
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Schritt 2

Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Da Du Vista verwendest, solltest Du die cmd.exe bzw. die Eingabeaufforderung per Rechtsklick => "als Administrator ausführen" starten.
Falls wir irgendwie Probleme damit haben, können wir auch alternativ die UAC deaktivieren

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:
Code:
remover.exe fix \\.\PhysicalDrive0

rafi911 03.08.2010 19:07
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 20:06 on 03/08/2010 by Wir (Administrator - Elevation successful)

========== contents ==========

C:\boot.ini - Opened succesfully.

[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn


-=End Of File=

rafi911 03.08.2010 19:10
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Wir>remover.exe fix \\.\PhysicalDrive0
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

Restoring boot code at \\.\PhysicalDrive0...
OK



Done;
Press any key to quit...

Musik noch da......

Swisstreasure 03.08.2010 19:12
Neu gestartet? :)

Nach Neustart scanne erneut mit Bootkitremover :)

rafi911 03.08.2010 19:23
Ja, soeben Neustart und Scan.

das Log ...

.\debug.cpp(238) : Debug log started at 03.08.2010 - 18:19:58
.\boot_cleaner.cpp(675) : Bootkit Remover
.\boot_cleaner.cpp(676) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(677) : www.esagelab.com
.\boot_cleaner.cpp(681) : Program version: 1.1.0.0
.\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x001f9280 "\WINDOWS\system32\ntkrnlpa.exe"
.\debug.cpp(256) : 0x806d1000 0x00020300 "\WINDOWS\system32\hal.dll"
.\debug.cpp(256) : 0xba5a8000 0x00002000 "\WINDOWS\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xba4b8000 0x00003000 "\WINDOWS\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xb9f78000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xba5aa000 0x00002000 "\WINDOWS\System32\DRIVERS\WMILIB.SYS"
.\debug.cpp(256) : 0xb9f67000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xba0a8000 0x0000a000 "isapnp.sys"
.\debug.cpp(256) : 0xba4bc000 0x00003000 "compbatt.sys"
.\debug.cpp(256) : 0xba4c0000 0x00004000 "\WINDOWS\System32\DRIVERS\BATTC.SYS"
.\debug.cpp(256) : 0xba670000 0x00001000 "pciide.sys"
.\debug.cpp(256) : 0xba328000 0x00007000 "\WINDOWS\System32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xba0b8000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xb9f48000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xba4c4000 0x00003000 "ACPIEC.sys"
.\debug.cpp(256) : 0xba671000 0x00001000 "\WINDOWS\System32\DRIVERS\OPRGHDLR.SYS"
.\debug.cpp(256) : 0xba330000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xba0c8000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xb9f30000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xba0d8000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xba0e8000 0x0000d000 "\WINDOWS\System32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xb9f10000 0x00020000 "fltmgr.sys"
.\debug.cpp(256) : 0xb9efe000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xb9ee7000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xb9e5a000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0xb9e2d000 0x0002d000 "NDIS.sys"
.\debug.cpp(256) : 0xb9e19000 0x00014000 "srescan.sys"
.\debug.cpp(256) : 0xb9dff000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xba574000 0x00004000 "\SystemRoot\System32\DRIVERS\CmBatt.sys"
.\debug.cpp(256) : 0xba578000 0x00003000 "\SystemRoot\System32\DRIVERS\wmiacpi.sys"
.\debug.cpp(256) : 0xb90d2000 0x005bf000 "\SystemRoot\System32\DRIVERS\igxpmp32.sys"
.\debug.cpp(256) : 0xb90be000 0x00014000 "\SystemRoot\System32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xba3d0000 0x00006000 "\SystemRoot\System32\DRIVERS\usbuhci.sys"
.\debug.cpp(256) : 0xb909a000 0x00024000 "\SystemRoot\System32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xba3d8000 0x00008000 "\SystemRoot\System32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xb9075000 0x00025000 "\SystemRoot\System32\DRIVERS\HDAudBus.sys"
.\debug.cpp(256) : 0xb8ef5000 0x00180000 "\SystemRoot\System32\DRIVERS\athw.sys"
.\debug.cpp(256) : 0xba2d8000 0x0000e000 "\SystemRoot\System32\DRIVERS\l1c51x86.sys"
.\debug.cpp(256) : 0xba2e8000 0x0000d000 "\SystemRoot\System32\DRIVERS\i8042prt.sys"
.\debug.cpp(256) : 0xba3e0000 0x00005000 "\SystemRoot\System32\DRIVERS\DKbFltr.sys"
.\debug.cpp(256) : 0xba3e8000 0x00007000 "\SystemRoot\System32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xb8ec4000 0x00031000 "\SystemRoot\System32\DRIVERS\SynTP.sys"
.\debug.cpp(256) : 0xba5be000 0x00002000 "\SystemRoot\System32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xba2f8000 0x0000d000 "\SystemRoot\System32\DRIVERS\WDFLDR.SYS"
.\debug.cpp(256) : 0xb8e48000 0x0007c000 "\SystemRoot\System32\Drivers\wdf01000.sys"
.\debug.cpp(256) : 0xba3f0000 0x00006000 "\SystemRoot\System32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xba308000 0x0000b000 "\SystemRoot\System32\DRIVERS\imapi.sys"
.\debug.cpp(256) : 0xba318000 0x00010000 "\SystemRoot\System32\DRIVERS\cdrom.sys"
.\debug.cpp(256) : 0xba118000 0x0000f000 "\SystemRoot\System32\DRIVERS\redbook.sys"
.\debug.cpp(256) : 0xb8e25000 0x00023000 "\SystemRoot\System32\DRIVERS\ks.sys"
.\debug.cpp(256) : 0xba128000 0x0000a000 "\SystemRoot\System32\DRIVERS\intelppm.sys"
.\debug.cpp(256) : 0xba6e8000 0x00001000 "\SystemRoot\System32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xba138000 0x0000d000 "\SystemRoot\System32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xba580000 0x00003000 "\SystemRoot\System32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xb8e0e000 0x00017000 "\SystemRoot\System32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xba148000 0x0000b000 "\SystemRoot\System32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xba158000 0x0000c000 "\SystemRoot\System32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xba3f8000 0x00005000 "\SystemRoot\System32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xb8dfd000 0x00011000 "\SystemRoot\System32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xba168000 0x00009000 "\SystemRoot\System32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xba400000 0x00005000 "\SystemRoot\System32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xba408000 0x00005000 "\SystemRoot\System32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xba178000 0x0000a000 "\SystemRoot\System32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xba5c0000 0x00002000 "\SystemRoot\System32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xb8d9f000 0x0005e000 "\SystemRoot\System32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xba588000 0x00004000 "\SystemRoot\System32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xba188000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xba1a8000 0x0000f000 "\SystemRoot\System32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xa8030000 0x000cf000 "\SystemRoot\system32\drivers\CHDAU32.sys"
.\debug.cpp(256) : 0xa800c000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys"
.\debug.cpp(256) : 0xba1b8000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys"
.\debug.cpp(256) : 0xa6e19000 0x00023000 "\SystemRoot\system32\DRIVERS\klif.sys"
.\debug.cpp(256) : 0xba440000 0x00008000 "\SystemRoot\System32\DRIVERS\usbccgp.sys"
.\debug.cpp(256) : 0xba5c4000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xba7a4000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xba5c6000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xba448000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xba5c8000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xba5ca000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xba450000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xba458000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xba548000 0x00003000 "\SystemRoot\System32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xa6de6000 0x00013000 "\SystemRoot\System32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xa6d8d000 0x00059000 "\SystemRoot\System32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xa6d65000 0x00028000 "\SystemRoot\System32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xa6d05000 0x00060000 "\SystemRoot\System32\vsdatant.sys"
.\debug.cpp(256) : 0xa6cdf000 0x00026000 "\SystemRoot\System32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xba554000 0x00003000 "\SystemRoot\System32\DRIVERS\hidusb.sys"
.\debug.cpp(256) : 0xba258000 0x00009000 "\SystemRoot\System32\DRIVERS\HIDCLASS.SYS"
.\debug.cpp(256) : 0xba460000 0x00007000 "\SystemRoot\System32\DRIVERS\HIDPARSE.SYS"
.\debug.cpp(256) : 0xa6c95000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xba268000 0x00009000 "\SystemRoot\System32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xba470000 0x00006000 "\SystemRoot\system32\DRIVERS\ssmdrv.sys"
.\debug.cpp(256) : 0xa6bc2000 0x00022000 "\??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS"
.\debug.cpp(256) : 0xba55c000 0x00003000 "\SystemRoot\System32\DRIVERS\mouhid.sys"
.\debug.cpp(256) : 0xba488000 0x00006000 "\??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS"
.\debug.cpp(256) : 0xa6b97000 0x0002b000 "\SystemRoot\System32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xa6b27000 0x00070000 "\SystemRoot\System32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xba298000 0x00009000 "\SystemRoot\System32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xba2a8000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xa6b0b000 0x0001c000 "\SystemRoot\system32\DRIVERS\avipbb.sys"
.\debug.cpp(256) : 0xba5d2000 0x00002000 "\??\C:\Programme\Avira\AntiVir Desktop\avgio.sys"
.\debug.cpp(256) : 0xa82fe000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xa6acb000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys"
.\debug.cpp(256) : 0xba606000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"
.\debug.cpp(256) : 0xbf800000 0x001c4000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xa8004000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xba490000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbf000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xba702000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbf024000 0x0002b000 "\SystemRoot\System32\igxpgd32.dll"
.\debug.cpp(256) : 0xbf012000 0x00012000 "\SystemRoot\System32\igxprd32.dll"
.\debug.cpp(256) : 0xbf04f000 0x0020c000 "\SystemRoot\System32\igxpdv32.DLL"
.\debug.cpp(256) : 0xbf25b000 0x00307000 "\SystemRoot\System32\igxpdx32.DLL"
.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"
.\debug.cpp(256) : 0xa699f000 0x00014000 "\SystemRoot\system32\DRIVERS\avgntflt.sys"
.\debug.cpp(256) : 0xa693d000 0x00062000 "\??\C:\WINDOWS\system32\drivers\ACEDRV07.sys"
.\debug.cpp(256) : 0xa69bb000 0x00004000 "\SystemRoot\System32\DRIVERS\ndisuio.sys"
.\debug.cpp(256) : 0xa6528000 0x0002d000 "\SystemRoot\System32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xa6369000 0x00057000 "\SystemRoot\System32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xa6264000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"
.\debug.cpp(256) : 0xa686d000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"
.\debug.cpp(256) : 0xa5cf5000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys"
.\debug.cpp(256) : 0x7c910000 0x000b9000 "\WINDOWS\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) : Destination="\Device\Video0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi3:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) : Destination="\Device\Ndis"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000042"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000032"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{71985f4a-1ca1-11d3-9cc8-00c04f7971e0}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) : Destination="\Device\Video1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) : Destination="\Device\Video2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) : Destination="\Device\Ip"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0D#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000041"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000031"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&2c76c2d9&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) : Destination="\Device\Video3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio"
.\debug.cpp(400) : Destination="\Device\avgio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) : Destination="\Device\IPSEC"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_046d&Pid_c52f&MI_01&Col02#7&36bca8a&0&0001#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\0000007e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9aa4a2cc-81e0-4cfd-802f-0f74526d2bd3}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY5"
.\debug.cpp(400) : Destination="\Device\Video4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_046d&Pid_c52f#5&1630352&0&1#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) : Destination="\Device\USBPDO-8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) : Destination="\Device\NDProxy"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{fd0a5af4-b41d-11d2-9c95-00c04f7971e0}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CompositeBattery"
.\debug.cpp(400) : Destination="\Device\CompositeBattery"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0A#1#{72631e54-78a4-11d0-bcf7-00aa00b7b32a}"
.\debug.cpp(400) : Destination="\Device\00000040"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) : Destination="\Device\WMIDataDevice"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d10252fc-9f2a-11df-962b-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2A42&SUBSYS_02531025&REV_07#3&11583659&0&10#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0001"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2938&SUBSYS_02531025&REV_03#3&11583659&0&D1#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0004"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1969&DEV_1063&SUBSYS_02531025&REV_C0#4&2bcebcdb&0&00E5#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0021"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt"
.\debug.cpp(400) : Destination="\FileSystem\Filters\avgntflt"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ZLTCP"
.\debug.cpp(400) : Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) : Destination="\Device\NamedPipe"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_15#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination="\Device\00000047"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{0a4252a0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&dddc97e&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&37f71a6f&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) : Destination="\Device\IPNAT"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) : Destination="\Device\Mup"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) : Destination="\Device\PSched"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SRESCAN"
.\debug.cpp(400) : Destination="\Device\SRESCAN"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) : Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskWDC_WD1600BEVT-22ZCT0___________________11.01A11#5&17d5c310&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T0L0-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgrMsg"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) : Destination="\Device\USBFDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{f7a30c41-8dd2-11de-b727-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000037"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) : Destination="\Device\VideoPdo0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&21ad834c&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) : Destination="\Device\USBFDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_293C&SUBSYS_02531025&REV_03#3&11583659&0&D7#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0005"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) : Destination="\Device\Harddisk0\DR0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{cf1dda2c-9743-11d0-a3ee-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"
.\debug.cpp(400) : Destination="\Device\USBFDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000035"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) : Destination="\DosDevices\LPT1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{4B739C76-E5A4-4815-BE45-A39AD597BC2F}"
.\debug.cpp(400) : Destination="\Device\{4B739C76-E5A4-4815-BE45-A39AD597BC2F}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&29e28ffa&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3"
.\debug.cpp(400) : Destination="\Device\USBFDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000036"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) : Destination="\Device\FsWrap"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"
.\debug.cpp(400) : Destination="\Device\sysaudio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4"
.\debug.cpp(400) : Destination="\Device\USBFDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{62C222A9-5131-434C-83FD-3DE9B582C04C}"
.\debug.cpp(400) : Destination="\Device\{62C222A9-5131-434C-83FD-3DE9B582C04C}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_046d&Pid_c52f&MI_00#7&2bd67853&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\0000007c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) : Destination="\GLOBAL??"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000048"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD5"
.\debug.cpp(400) : Destination="\Device\USBFDO-5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD6"
.\debug.cpp(400) : Destination="\Device\USBFDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2936&SUBSYS_02531025&REV_03#3&11583659&0&EA#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_168C&DEV_002A&SUBSYS_E006105B&REV_01#4&3905ae0c&0&00E3#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0020"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#SYN1B20#4&ff861e6&0#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000068"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{dda54a40-1e4c-11d1-a050-405705c10000}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#ThermalZone#THRM#{4afa3d51-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000045"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{D93A7C80-76C6-4F69-8B92-E6ADB3444062}"
.\debug.cpp(400) : Destination="\Device\{D93A7C80-76C6-4F69-8B92-E6ADB3444062}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD7"
.\debug.cpp(400) : Destination="\Device\USBFDO-7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2935&SUBSYS_02531025&REV_03#3&11583659&0&E9#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0011"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomOptiarc_DVD_RW_AD-7580S_________________FX04____#3033353633363033322037363330313831513231#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{07dad660-22f1-11d1-a9f4-00c04fbbde8f}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&b1b2650&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2939&SUBSYS_02531025&REV_03#3&11583659&0&EB#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0013"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{CB4DFCD1-0342-46BC-9794-E157E23F8BCB}"
.\debug.cpp(400) : Destination="\Device\{CB4DFCD1-0342-46BC-9794-E157E23F8BCB}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0E#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000030"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2937&SUBSYS_02531025&REV_03#3&11583659&0&D0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ssmctl"
.\debug.cpp(400) : Destination="\Device\ssmctl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) : Destination="\Device\MountPointManager"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\00000003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) : Destination="\Device\WANARP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&24934fa1&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{357C55AF-27BF-4F0F-9073-9072366E4E50}"
.\debug.cpp(400) : Destination="\Device\{357C55AF-27BF-4F0F-9073-9072366E4E50}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomOptiarc_DVD_RW_AD-7580S_________________FX04____#3033353633363033322037363330313831513231#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) : Destination="\Device\NdisWanIp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{86841137-ed8e-4d97-9975-f2ed56b4430e}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\KLIF"
.\debug.cpp(400) : Destination="\FileSystem\Filters\KLIF"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Dritek_KB_Filter"
.\debug.cpp(400) : Destination="\Device\Dritek_KB_Filter"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SASKUTIL"
.\debug.cpp(400) : Destination="\Device\SASKUTIL"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_293A&SUBSYS_02531025&REV_03#3&11583659&0&EF#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0014"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E97E7D2C-6717-45DE-91E7-155BD2C7EE0E}"
.\debug.cpp(400) : Destination="\Device\{E97E7D2C-6717-45DE-91E7-155BD2C7EE0E}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#4&ff861e6&0#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000067"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_046d&Pid_c52f&MI_01&Col03#7&36bca8a&0&0002#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\0000007f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) : Destination="\Device\ParTechInc0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{54c9343c-2a17-42e8-b4fd-9f9da27b94d6}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) : Destination="\Device\ParTechInc1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{EC7AA61F-AD96-4D4A-A8EC-BEC513C099FF}"
.\debug.cpp(400) : Destination="\Device\{EC7AA61F-AD96-4D4A-A8EC-BEC513C099FF}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&d767268&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) : Destination="\Device\IPMULTICAST"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) : Destination="\Device\NdisWan"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) : Destination="\Device\NdisTapi"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_046d&Pid_c52f&MI_01&Col01#7&36bca8a&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\0000007d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) : Destination="\Device\ParTechInc2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) : Destination="\Device\LanmanRedirector"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature1C7B1C7AOffset7E00Length2542978200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) : Destination="\Device\FtControl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{ca89b949-d7bf-48dd-bb06-f40ebc29c5f6}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SABDIFSV"
.\debug.cpp(400) : Destination="\Device\SASDIFSV"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{0733ED35-D954-44A5-BFC3-F0330EF353A8}"
.\debug.cpp(400) : Destination="\Device\{0733ED35-D954-44A5-BFC3-F0330EF353A8}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Oceanus.00"
.\debug.cpp(400) : Destination="\Device\Oceanus.00"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) : Destination="\DosDevices\COM1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) : Destination="\Device\MailSlot"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACEDRV07"
.\debug.cpp(400) : Destination="\Device\ACEDRV07"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) : Destination=""

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2A43&SUBSYS_02531025&REV_07#3&11583659&0&11#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) : Destination="\Device\Null"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi2:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000039"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ndisuio"
.\debug.cpp(400) : Destination="\Device\Ndisuio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomOptiarc_DVD_RW_AD-7580S_________________FX04____#3033353633363033322037363330313831513231#{1186654d-47b8-48b9-beb9-7df113ae3c67}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2934&SUBSYS_02531025&REV_03#3&11583659&0&E8#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0010"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_046d&Pid_c52f&MI_00#7&2bd67853&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\0000007c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SYNTP"
.\debug.cpp(400) : Destination="\Device\SynTP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{A91C1E06-DE3C-43B5-AB5D-DE03387E7263}"
.\debug.cpp(400) : Destination="\Device\{A91C1E06-DE3C-43B5-AB5D-DE03387E7263}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\vsdatant"
.\debug.cpp(400) : Destination="\Device\vsdatant"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb"
.\debug.cpp(400) : Destination="\Device\avipbb"

.\debug.cpp(451) : **********************************************
.\boot_cleaner.cpp(1077) : System volume is \\.\C:
.\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(424) : Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
.\boot_cleaner.cpp(1151) :
.\boot_cleaner.cpp(1152) : Size Device Name MBR Status
.\boot_cleaner.cpp(1153) : --------------------------------------------
.\boot_cleaner.cpp(1197) : 149 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
.\boot_cleaner.cpp(1203) :
.\boot_cleaner.cpp(1242) : Done;

rafi911 03.08.2010 19:25
noch ein scan ohne neustart..

.\debug.cpp(238) : Debug log started at 03.08.2010 - 18:24:38
.\boot_cleaner.cpp(675) : Bootkit Remover
.\boot_cleaner.cpp(676) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(677) : www.esagelab.com
.\boot_cleaner.cpp(681) : Program version: 1.1.0.0
.\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x001f9280 "\WINDOWS\system32\ntkrnlpa.exe"
.\debug.cpp(256) : 0x806d1000 0x00020300 "\WINDOWS\system32\hal.dll"
.\debug.cpp(256) : 0xba5a8000 0x00002000 "\WINDOWS\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xba4b8000 0x00003000 "\WINDOWS\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xb9f78000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xba5aa000 0x00002000 "\WINDOWS\System32\DRIVERS\WMILIB.SYS"
.\debug.cpp(256) : 0xb9f67000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xba0a8000 0x0000a000 "isapnp.sys"
.\debug.cpp(256) : 0xba4bc000 0x00003000 "compbatt.sys"
.\debug.cpp(256) : 0xba4c0000 0x00004000 "\WINDOWS\System32\DRIVERS\BATTC.SYS"
.\debug.cpp(256) : 0xba670000 0x00001000 "pciide.sys"
.\debug.cpp(256) : 0xba328000 0x00007000 "\WINDOWS\System32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xba0b8000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xb9f48000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xba4c4000 0x00003000 "ACPIEC.sys"
.\debug.cpp(256) : 0xba671000 0x00001000 "\WINDOWS\System32\DRIVERS\OPRGHDLR.SYS"
.\debug.cpp(256) : 0xba330000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xba0c8000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xb9f30000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xba0d8000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xba0e8000 0x0000d000 "\WINDOWS\System32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xb9f10000 0x00020000 "fltmgr.sys"
.\debug.cpp(256) : 0xb9efe000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xb9ee7000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xb9e5a000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0xb9e2d000 0x0002d000 "NDIS.sys"
.\debug.cpp(256) : 0xb9e19000 0x00014000 "srescan.sys"
.\debug.cpp(256) : 0xb9dff000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xba574000 0x00004000 "\SystemRoot\System32\DRIVERS\CmBatt.sys"
.\debug.cpp(256) : 0xba578000 0x00003000 "\SystemRoot\System32\DRIVERS\wmiacpi.sys"
.\debug.cpp(256) : 0xb90d2000 0x005bf000 "\SystemRoot\System32\DRIVERS\igxpmp32.sys"
.\debug.cpp(256) : 0xb90be000 0x00014000 "\SystemRoot\System32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xba3d0000 0x00006000 "\SystemRoot\System32\DRIVERS\usbuhci.sys"
.\debug.cpp(256) : 0xb909a000 0x00024000 "\SystemRoot\System32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xba3d8000 0x00008000 "\SystemRoot\System32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xb9075000 0x00025000 "\SystemRoot\System32\DRIVERS\HDAudBus.sys"
.\debug.cpp(256) : 0xb8ef5000 0x00180000 "\SystemRoot\System32\DRIVERS\athw.sys"
.\debug.cpp(256) : 0xba2d8000 0x0000e000 "\SystemRoot\System32\DRIVERS\l1c51x86.sys"
.\debug.cpp(256) : 0xba2e8000 0x0000d000 "\SystemRoot\System32\DRIVERS\i8042prt.sys"
.\debug.cpp(256) : 0xba3e0000 0x00005000 "\SystemRoot\System32\DRIVERS\DKbFltr.sys"
.\debug.cpp(256) : 0xba3e8000 0x00007000 "\SystemRoot\System32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xb8ec4000 0x00031000 "\SystemRoot\System32\DRIVERS\SynTP.sys"
.\debug.cpp(256) : 0xba5be000 0x00002000 "\SystemRoot\System32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xba2f8000 0x0000d000 "\SystemRoot\System32\DRIVERS\WDFLDR.SYS"
.\debug.cpp(256) : 0xb8e48000 0x0007c000 "\SystemRoot\System32\Drivers\wdf01000.sys"
.\debug.cpp(256) : 0xba3f0000 0x00006000 "\SystemRoot\System32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xba308000 0x0000b000 "\SystemRoot\System32\DRIVERS\imapi.sys"
.\debug.cpp(256) : 0xba318000 0x00010000 "\SystemRoot\System32\DRIVERS\cdrom.sys"
.\debug.cpp(256) : 0xba118000 0x0000f000 "\SystemRoot\System32\DRIVERS\redbook.sys"
.\debug.cpp(256) : 0xb8e25000 0x00023000 "\SystemRoot\System32\DRIVERS\ks.sys"
.\debug.cpp(256) : 0xba128000 0x0000a000 "\SystemRoot\System32\DRIVERS\intelppm.sys"
.\debug.cpp(256) : 0xba6e8000 0x00001000 "\SystemRoot\System32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xba138000 0x0000d000 "\SystemRoot\System32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xba580000 0x00003000 "\SystemRoot\System32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xb8e0e000 0x00017000 "\SystemRoot\System32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xba148000 0x0000b000 "\SystemRoot\System32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xba158000 0x0000c000 "\SystemRoot\System32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xba3f8000 0x00005000 "\SystemRoot\System32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xb8dfd000 0x00011000 "\SystemRoot\System32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xba168000 0x00009000 "\SystemRoot\System32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xba400000 0x00005000 "\SystemRoot\System32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xba408000 0x00005000 "\SystemRoot\System32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xba178000 0x0000a000 "\SystemRoot\System32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xba5c0000 0x00002000 "\SystemRoot\System32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xb8d9f000 0x0005e000 "\SystemRoot\System32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xba588000 0x00004000 "\SystemRoot\System32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xba188000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xba1a8000 0x0000f000 "\SystemRoot\System32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xa8030000 0x000cf000 "\SystemRoot\system32\drivers\CHDAU32.sys"
.\debug.cpp(256) : 0xa800c000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys"
.\debug.cpp(256) : 0xba1b8000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys"
.\debug.cpp(256) : 0xa6e19000 0x00023000 "\SystemRoot\system32\DRIVERS\klif.sys"
.\debug.cpp(256) : 0xba440000 0x00008000 "\SystemRoot\System32\DRIVERS\usbccgp.sys"
.\debug.cpp(256) : 0xba5c4000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xba7a4000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xba5c6000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xba448000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xba5c8000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xba5ca000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xba450000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xba458000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xba548000 0x00003000 "\SystemRoot\System32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xa6de6000 0x00013000 "\SystemRoot\System32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xa6d8d000 0x00059000 "\SystemRoot\System32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xa6d65000 0x00028000 "\SystemRoot\System32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xa6d05000 0x00060000 "\SystemRoot\System32\vsdatant.sys"
.\debug.cpp(256) : 0xa6cdf000 0x00026000 "\SystemRoot\System32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xba554000 0x00003000 "\SystemRoot\System32\DRIVERS\hidusb.sys"
.\debug.cpp(256) : 0xba258000 0x00009000 "\SystemRoot\System32\DRIVERS\HIDCLASS.SYS"
.\debug.cpp(256) : 0xba460000 0x00007000 "\SystemRoot\System32\DRIVERS\HIDPARSE.SYS"
.\debug.cpp(256) : 0xa6c95000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xba268000 0x00009000 "\SystemRoot\System32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xba470000 0x00006000 "\SystemRoot\system32\DRIVERS\ssmdrv.sys"
.\debug.cpp(256) : 0xa6bc2000 0x00022000 "\??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS"
.\debug.cpp(256) : 0xba55c000 0x00003000 "\SystemRoot\System32\DRIVERS\mouhid.sys"
.\debug.cpp(256) : 0xba488000 0x00006000 "\??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS"
.\debug.cpp(256) : 0xa6b97000 0x0002b000 "\SystemRoot\System32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xa6b27000 0x00070000 "\SystemRoot\System32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xba298000 0x00009000 "\SystemRoot\System32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xba2a8000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xa6b0b000 0x0001c000 "\SystemRoot\system32\DRIVERS\avipbb.sys"
.\debug.cpp(256) : 0xba5d2000 0x00002000 "\??\C:\Programme\Avira\AntiVir Desktop\avgio.sys"
.\debug.cpp(256) : 0xa82fe000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xa6acb000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys"
.\debug.cpp(256) : 0xba606000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"
.\debug.cpp(256) : 0xbf800000 0x001c4000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xa8004000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xba490000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbf000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xba702000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbf024000 0x0002b000 "\SystemRoot\System32\igxpgd32.dll"
.\debug.cpp(256) : 0xbf012000 0x00012000 "\SystemRoot\System32\igxprd32.dll"
.\debug.cpp(256) : 0xbf04f000 0x0020c000 "\SystemRoot\System32\igxpdv32.DLL"
.\debug.cpp(256) : 0xbf25b000 0x00307000 "\SystemRoot\System32\igxpdx32.DLL"
.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"
.\debug.cpp(256) : 0xa699f000 0x00014000 "\SystemRoot\system32\DRIVERS\avgntflt.sys"
.\debug.cpp(256) : 0xa693d000 0x00062000 "\??\C:\WINDOWS\system32\drivers\ACEDRV07.sys"
.\debug.cpp(256) : 0xa69bb000 0x00004000 "\SystemRoot\System32\DRIVERS\ndisuio.sys"
.\debug.cpp(256) : 0xa6528000 0x0002d000 "\SystemRoot\System32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xa6369000 0x00057000 "\SystemRoot\System32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xa6264000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"
.\debug.cpp(256) : 0xa686d000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"
.\debug.cpp(256) : 0xa5cf5000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys"
.\debug.cpp(256) : 0x7c910000 0x000b9000 "\WINDOWS\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) : Destination="\Device\Video0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi3:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) : Destination="\Device\Ndis"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000042"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000032"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{71985f4a-1ca1-11d3-9cc8-00c04f7971e0}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) : Destination="\Device\Video1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) : Destination="\Device\Video2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) : Destination="\Device\Ip"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0D#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000041"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000031"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&2c76c2d9&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) : Destination="\Device\Video3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio"
.\debug.cpp(400) : Destination="\Device\avgio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) : Destination="\Device\IPSEC"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_046d&Pid_c52f&MI_01&Col02#7&36bca8a&0&0001#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\0000007e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9aa4a2cc-81e0-4cfd-802f-0f74526d2bd3}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY5"
.\debug.cpp(400) : Destination="\Device\Video4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_046d&Pid_c52f#5&1630352&0&1#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) : Destination="\Device\USBPDO-8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) : Destination="\Device\NDProxy"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{fd0a5af4-b41d-11d2-9c95-00c04f7971e0}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CompositeBattery"
.\debug.cpp(400) : Destination="\Device\CompositeBattery"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0A#1#{72631e54-78a4-11d0-bcf7-00aa00b7b32a}"
.\debug.cpp(400) : Destination="\Device\00000040"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) : Destination="\Device\WMIDataDevice"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d10252fc-9f2a-11df-962b-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2A42&SUBSYS_02531025&REV_07#3&11583659&0&10#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0001"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2938&SUBSYS_02531025&REV_03#3&11583659&0&D1#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0004"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_1969&DEV_1063&SUBSYS_02531025&REV_C0#4&2bcebcdb&0&00E5#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0021"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt"
.\debug.cpp(400) : Destination="\FileSystem\Filters\avgntflt"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ZLTCP"
.\debug.cpp(400) : Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) : Destination="\Device\NamedPipe"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_15#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination="\Device\00000047"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{0a4252a0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&dddc97e&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&37f71a6f&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) : Destination="\Device\IPNAT"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) : Destination="\Device\Mup"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) : Destination="\Device\PSched"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{f7a30c41-8dd2-11de-b727-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SRESCAN"
.\debug.cpp(400) : Destination="\Device\SRESCAN"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) : Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskWDC_WD1600BEVT-22ZCT0___________________11.01A11#5&17d5c310&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T0L0-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgrMsg"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) : Destination="\Device\USBFDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000037"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) : Destination="\Device\VideoPdo0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&21ad834c&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) : Destination="\Device\USBFDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_293C&SUBSYS_02531025&REV_03#3&11583659&0&D7#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0005"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) : Destination="\Device\Harddisk0\DR0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{cf1dda2c-9743-11d0-a3ee-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"
.\debug.cpp(400) : Destination="\Device\USBFDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000035"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) : Destination="\DosDevices\LPT1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{4B739C76-E5A4-4815-BE45-A39AD597BC2F}"
.\debug.cpp(400) : Destination="\Device\{4B739C76-E5A4-4815-BE45-A39AD597BC2F}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&29e28ffa&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3"
.\debug.cpp(400) : Destination="\Device\USBFDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000036"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) : Destination="\Device\FsWrap"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"
.\debug.cpp(400) : Destination="\Device\sysaudio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4"
.\debug.cpp(400) : Destination="\Device\USBFDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{62C222A9-5131-434C-83FD-3DE9B582C04C}"
.\debug.cpp(400) : Destination="\Device\{62C222A9-5131-434C-83FD-3DE9B582C04C}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_046d&Pid_c52f&MI_00#7&2bd67853&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\0000007c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) : Destination="\GLOBAL??"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000048"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD5"
.\debug.cpp(400) : Destination="\Device\USBFDO-5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD6"
.\debug.cpp(400) : Destination="\Device\USBFDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2936&SUBSYS_02531025&REV_03#3&11583659&0&EA#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_168C&DEV_002A&SUBSYS_E006105B&REV_01#4&3905ae0c&0&00E3#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0020"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#SYN1B20#4&ff861e6&0#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000068"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{dda54a40-1e4c-11d1-a050-405705c10000}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#ThermalZone#THRM#{4afa3d51-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000045"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{D93A7C80-76C6-4F69-8B92-E6ADB3444062}"
.\debug.cpp(400) : Destination="\Device\{D93A7C80-76C6-4F69-8B92-E6ADB3444062}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD7"
.\debug.cpp(400) : Destination="\Device\USBFDO-7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2935&SUBSYS_02531025&REV_03#3&11583659&0&E9#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0011"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomOptiarc_DVD_RW_AD-7580S_________________FX04____#3033353633363033322037363330313831513231#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{07dad660-22f1-11d1-a9f4-00c04fbbde8f}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&b1b2650&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2939&SUBSYS_02531025&REV_03#3&11583659&0&EB#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0013"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{CB4DFCD1-0342-46BC-9794-E157E23F8BCB}"
.\debug.cpp(400) : Destination="\Device\{CB4DFCD1-0342-46BC-9794-E157E23F8BCB}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) : Destination="\Device\MountPointManager"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0E#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000030"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2937&SUBSYS_02531025&REV_03#3&11583659&0&D0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ssmctl"
.\debug.cpp(400) : Destination="\Device\ssmctl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\00000003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) : Destination="\Device\WANARP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomOptiarc_DVD_RW_AD-7580S_________________FX04____#3033353633363033322037363330313831513231#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&24934fa1&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{357C55AF-27BF-4F0F-9073-9072366E4E50}"
.\debug.cpp(400) : Destination="\Device\{357C55AF-27BF-4F0F-9073-9072366E4E50}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) : Destination="\Device\NdisWanIp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{86841137-ed8e-4d97-9975-f2ed56b4430e}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\KLIF"
.\debug.cpp(400) : Destination="\FileSystem\Filters\KLIF"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Dritek_KB_Filter"
.\debug.cpp(400) : Destination="\Device\Dritek_KB_Filter"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SASKUTIL"
.\debug.cpp(400) : Destination="\Device\SASKUTIL"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_293A&SUBSYS_02531025&REV_03#3&11583659&0&EF#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0014"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E97E7D2C-6717-45DE-91E7-155BD2C7EE0E}"
.\debug.cpp(400) : Destination="\Device\{E97E7D2C-6717-45DE-91E7-155BD2C7EE0E}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#4&ff861e6&0#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000067"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_046d&Pid_c52f&MI_01&Col03#7&36bca8a&0&0002#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\0000007f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) : Destination="\Device\ParTechInc0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{54c9343c-2a17-42e8-b4fd-9f9da27b94d6}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) : Destination="\Device\ParTechInc1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{EC7AA61F-AD96-4D4A-A8EC-BEC513C099FF}"
.\debug.cpp(400) : Destination="\Device\{EC7AA61F-AD96-4D4A-A8EC-BEC513C099FF}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&d767268&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) : Destination="\Device\IPMULTICAST"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) : Destination="\Device\NdisWan"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) : Destination="\Device\NdisTapi"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_046d&Pid_c52f&MI_01&Col01#7&36bca8a&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\0000007d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature1C7B1C7AOffset7E00Length2542978200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) : Destination="\Device\ParTechInc2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) : Destination="\Device\LanmanRedirector"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) : Destination="\Device\FtControl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{ca89b949-d7bf-48dd-bb06-f40ebc29c5f6}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SABDIFSV"
.\debug.cpp(400) : Destination="\Device\SASDIFSV"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_14F1&DEV_5051&SUBSYS_10250253&REV_1000#4&285fba0f&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000076"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{0733ED35-D954-44A5-BFC3-F0330EF353A8}"
.\debug.cpp(400) : Destination="\Device\{0733ED35-D954-44A5-BFC3-F0330EF353A8}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Oceanus.00"
.\debug.cpp(400) : Destination="\Device\Oceanus.00"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) : Destination="\DosDevices\COM1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) : Destination="\Device\MailSlot"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACEDRV07"
.\debug.cpp(400) : Destination="\Device\ACEDRV07"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) : Destination=""

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2A43&SUBSYS_02531025&REV_07#3&11583659&0&11#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) : Destination="\Device\Null"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi2:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000039"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ndisuio"
.\debug.cpp(400) : Destination="\Device\Ndisuio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomOptiarc_DVD_RW_AD-7580S_________________FX04____#3033353633363033322037363330313831513231#{1186654d-47b8-48b9-beb9-7df113ae3c67}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_2934&SUBSYS_02531025&REV_03#3&11583659&0&E8#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0010"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_046d&Pid_c52f&MI_00#7&2bd67853&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\0000007c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SYNTP"
.\debug.cpp(400) : Destination="\Device\SynTP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{A91C1E06-DE3C-43B5-AB5D-DE03387E7263}"
.\debug.cpp(400) : Destination="\Device\{A91C1E06-DE3C-43B5-AB5D-DE03387E7263}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\vsdatant"
.\debug.cpp(400) : Destination="\Device\vsdatant"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb"
.\debug.cpp(400) : Destination="\Device\avipbb"

.\debug.cpp(451) : **********************************************
.\boot_cleaner.cpp(1077) : System volume is \\.\C:
.\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(424) : Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
.\boot_cleaner.cpp(1151) :
.\boot_cleaner.cpp(1152) : Size Device Name MBR Status
.\boot_cleaner.cpp(1153) : --------------------------------------------
.\boot_cleaner.cpp(1197) : 149 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
.\boot_cleaner.cpp(1203) :
.\boot_cleaner.cpp(1242) : Done;

Swisstreasure 03.08.2010 20:33
Das sieht doch schon viel besser aus :)

Schritt 1

Downloade Malwarebytes Anti-Malware (ca. 2 MB) von einem dieser Downloadspiegel:
Malwarebytes - MajorGeeks.com - BestTechie
  • Anwendbar auf Windows 2000, XP und Vista.
  • Installiere das Programm in den vorgegebenen Pfad.
  • Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
  • Lasse es online updaten (Reiter Updates), wenn das nicht automatisch passiert (ca. 1 MB).
  • Aktiviere "Komplett Scan durchführen" => Scan.
  • Wähle alle verfügbaren Laufwerke aus und starte den Scan.
  • Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
  • Versichere Dich, dass alle Funde markiert sind und drücke "Löschen".
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
  • Berichte, wie der Rechner nun läuft.
Hier findest Du eine ausführliche und bebilderte Anleitung.

Schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
  • Doppelklick auf die OTL.exe
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Oben findest Du ein Kästchen mit Ausgabe.
    Wähle bitte Minimal-Ausgabe
  • Unter Extra-Registrierung wähle bitte Benutze SafeList.
  • Mache Häckchen bei LOP- und Purity-Prüfung.
  • Klicke nun auf Scan links oben.

    http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  • Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
    Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
  • Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:
  • Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
  • Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
  • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Gmer startet automatisch einen ersten Scan.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    Code:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system?
  • Unbedingt auf "No" klicken,
    in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

    .
  • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
  • Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
  • Wichtig: "Show all" darf nicht angehakt sein!
  • Starte den Scan durch Drücken des Buttons "Scan".
    Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
  • Wenn der Scan fertig ist, bleibt die Zeile leer.
    Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
    Mit "Ok" wird Gmer beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

rafi911 03.08.2010 21:14
.. bis jetzt kein Pop up oder Musik mehr :-)

schaun wir mal..

Ich mache trotzdem weiter -oder?

Gruß
Rainer

Swisstreasure 03.08.2010 21:16
Ja jetzt gehts erst los :)

rafi911 03.08.2010 21:55
Hallo,

mache morgen weiter.

Danke!!

Rainer

Swisstreasure 03.08.2010 22:20
Ok dann bis morgen :)

rafi911 04.08.2010 17:58
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4386

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.08.2010 18:57:27
mbam-log-2010-08-04 (18-57-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 215584
Laufzeit: 1 Stunde(n), 4 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\JDownloader\downloads\Fuer_Sprachsteuerung_und_TTS.exe (Trojan.Dropper) -> Quarantined and deleted successfully.



Habe ich entfernt :-)

weiter gehts...

rafi911 04.08.2010 18:13
OTL Logfile:
Code:
OTL logfile created on: 04.08.2010 19:04:46 - Run 2
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\Wir\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 68,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): C:\pagefile.sys 4092 5000 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 5,57 Gb Free Space | 3,74% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: FAM-6634P0WGE1G
Current User Name: Wir
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Wir\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe (WDC)
PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
PRC - C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe (Memeo)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe ()
PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs, LLC)
PRC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (Zone Labs, LLC)
PRC - C:\WINDOWS\system32\igfxext.exe (Intel Corporation)
PRC - C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)
PRC - C:\WINDOWS\system32\BRSVC01A.EXE (brother Industries Ltd)
PRC - C:\WINDOWS\system32\BRSS01A.EXE (brother Industries Ltd)
PRC - C:\WINDOWS\system32\NILaunch.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Wir\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (WDDMService) -- C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe (WDC)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (getPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
SRV - (WDSmartWareBackgroundService) -- C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe (Memeo)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AAV UpdateService) -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe ()
SRV - (vsmon) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Zone Labs, LLC)
SRV - (Brother XP spl Service) -- C:\WINDOWS\system32\BRSVC01A.EXE (brother Industries Ltd)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (USBCCID) -- C:\WINDOWS\System32\DRIVERS\RtsUCcid.sys File not found
DRV - (RtsUIR) -- C:\WINDOWS\System32\DRIVERS\Rts516xIR.sys File not found
DRV - (catchme) -- C:\DOKUME~1\Wir\LOKALE~1\Temp\catchme.sys File not found
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ACEDRV07) -- C:\WINDOWS\system32\drivers\ACEDRV07.sys (Protect Software GmbH)
DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (PID_PEPI) Logitech QuickCam IM(PID_PEPI) -- C:\WINDOWS\system32\drivers\LV302V32.SYS (Logitech Inc.)
DRV - (L1c) -- C:\WINDOWS\system32\drivers\l1c51x86.sys (Atheros Communications, Inc.)
DRV - (RSUSBSTOR) -- C:\WINDOWS\system32\drivers\RtsUStor.sys (Realtek Semiconductor Corp.)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (athr) -- C:\WINDOWS\system32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (CnxtHdAudService) -- C:\WINDOWS\system32\drivers\CHDAU32.sys (Conexant Systems Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics Incorporated)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (WDC_SAM) -- C:\WINDOWS\system32\drivers\wdcsam.sys (Western Digital Technologies)
DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (srescan) -- C:\WINDOWS\system32\ZoneLabs\srescan.sys (Zone Labs, LLC)
DRV - (KLIF) -- C:\WINDOWS\system32\drivers\klif.sys (Kaspersky Lab)
DRV - (DKbFltr) -- C:\WINDOWS\system32\drivers\DKbFltr.SYS (Dritek System Inc.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (BrPar) -- C:\WINDOWS\System32\drivers\BrPar.sys (Brother Industries Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "WEB.DE Suche"
FF - prefs.js..browser.search.order.1: "GMX Suche"
FF - prefs.js..browser.search.order.2: "1und1 Suche"
FF - prefs.js..browser.search.order.3: "amazon.de"
FF - prefs.js..browser.search.order.4: "WEB.DE Suche"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.web.de"
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1
FF - prefs.js..extensions.enabledItems: 6
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: 41
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {95f24680-9e31-11da-a746-0800200c9a66}:0.1.5.5
FF - prefs.js..extensions.enabledItems: {a82d0125-000a-4a57-abbc-5d4b0dbaab54}:1.6.2
FF - prefs.js..keyword.URL: "hxxp://go.web.de/suchbox/webdesuche?su="
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.24 15:07:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.24 15:07:15 | 000,000,000 | ---D | M]
 
[2010.05.27 18:48:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Extensions
[2010.05.27 18:48:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2010.02.15 22:43:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\krds1db9.default\extensions
[2010.01.09 13:29:59 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\krds1db9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.08.24 10:28:47 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\krds1db9.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.07.17 08:01:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions
[2010.04.27 17:38:29 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.07.16 21:29:09 | 000,000,000 | ---D | M] (NCH Toolbar) -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}
[2010.02.15 22:52:49 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.02.07 15:55:37 | 000,005,591 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\krds1db9.default\searchplugins\1und1-suche.xml
[2010.02.07 15:55:35 | 000,001,371 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\krds1db9.default\searchplugins\amazonde.xml
[2010.02.07 15:55:35 | 000,010,605 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\krds1db9.default\searchplugins\gmx-suche.xml
[2010.02.07 15:55:35 | 000,005,588 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\krds1db9.default\searchplugins\webde-suche.xml
[2010.07.17 08:01:30 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.02.07 15:54:42 | 000,000,000 | ---D | M] (Update Notifier) -- C:\Programme\Mozilla Firefox\extensions\{95f24680-9e31-11da-a746-0800200c9a66}
[2010.02.07 15:54:42 | 000,000,000 | ---D | M] (WEB.DE Firefox Addon) -- C:\Programme\Mozilla Firefox\extensions\{a82d0125-000a-4a57-abbc-5d4b0dbaab54}
[2010.06.03 15:10:59 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010.07.04 09:36:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.01.16 03:15:29 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.16 03:15:29 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.16 03:15:29 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.16 03:15:29 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.16 03:15:29 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.08.03 18:02:04 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - No CLSID value found.
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe ()
O4 - HKLM..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs, LLC)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - Reg Error: Key error. File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 83.169.184.161 83.169.184.225
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.08.20 22:54:31 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.04 19:02:24 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Wir\Desktop\OTL.exe
[2010.08.03 22:10:41 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.08.03 22:10:39 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.08.03 22:10:39 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.08.03 19:37:47 | 000,081,920 | ---- | C] (eSage Lab) -- C:\Dokumente und Einstellungen\Wir\Desktop\remover.exe
[2010.08.03 19:08:09 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.08.03 17:52:59 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.08.03 17:52:58 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.08.03 17:52:58 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.08.03 17:52:58 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.08.03 17:52:03 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.08.02 22:21:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Uniblue
[2010.08.02 22:21:26 | 000,000,000 | ---D | C] -- C:\Programme\Uniblue
[2010.08.02 20:26:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2010.08.01 11:33:01 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.08.01 11:30:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.08.01 11:21:58 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Wir\Recent
[2010.08.01 11:19:21 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.08.01 09:38:59 | 000,081,920 | ---- | C] (eSage Lab) -- C:\WINDOWS\System32\remover.exe
[2010.08.01 09:25:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Malwarebytes
[2010.08.01 09:25:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.20 19:16:57 | 000,000,000 | ---D | C] -- C:\found.000
[2010.07.17 09:19:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Conduit
[2010.07.17 09:19:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\NCH
[2010.07.16 21:44:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Conduit
[2010.07.16 21:44:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\NCH
[2010.07.16 21:29:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\NCH Software
[2010.07.16 21:29:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Software
[2010.07.16 21:29:05 | 000,000,000 | ---D | C] -- C:\Programme\Conduit
[2010.07.16 21:29:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Anwendungsdaten\Conduit
[2010.07.16 21:29:04 | 000,000,000 | ---D | C] -- C:\Programme\NCH
[2010.07.16 21:28:45 | 000,000,000 | ---D | C] -- C:\Programme\NCH Software
[2010.07.16 21:17:51 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.07.14 07:22:24 | 000,744,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\helpsvc.exe
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.04 19:05:06 | 075,202,592 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2010.08.04 19:02:29 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Wir\Desktop\OTL.exe
[2010.08.04 19:00:23 | 000,358,382 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml
[2010.08.04 19:00:06 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.04 18:59:59 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.04 18:59:16 | 000,886,460 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2010.08.04 18:59:01 | 006,815,744 | -H-- | M] () -- C:\Dokumente und Einstellungen\Wir\NTUSER.DAT
[2010.08.04 18:59:01 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Wir\ntuser.ini
[2010.08.03 22:10:43 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.03 19:32:12 | 000,000,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Desktop\MBRCheck_MBR_Backup_08-03-10_19-32-12.bak
[2010.08.03 18:02:12 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.08.03 18:02:04 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.08.03 17:52:53 | 000,068,504 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.08.02 21:24:13 | 000,264,616 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.08.02 21:06:53 | 000,080,384 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Desktop\MBRCheck.exe
[2010.08.02 18:53:51 | 000,006,662 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Eigene Dateien\cc_20100802_185338registry.reg
[2010.08.01 11:33:06 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2010.08.01 11:27:18 | 003,748,898 | R--- | M] () -- C:\Dokumente und Einstellungen\Wir\Desktop\cofi.exe.exe
[2010.08.01 11:25:46 | 000,248,396 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Eigene Dateien\cc_20100801_112535.reg
[2010.08.01 11:19:25 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Desktop\CCleaner.lnk
[2010.08.01 09:39:17 | 000,000,512 | ---- | M] () -- C:\mbr.mbr
[2010.07.31 15:41:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.07.31 12:53:23 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2010.07.27 08:29:42 | 008,503,296 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shell32.dll
[2010.07.22 16:43:23 | 000,015,975 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Desktop\Thermostat OM636 direkt am Kopf.jpg
[2010.07.22 09:14:19 | 002,359,350 | ---- | M] () -- C:\WINDOWS\ACD Wallpaper.bmp
[2010.07.21 19:50:20 | 000,081,920 | ---- | M] (eSage Lab) -- C:\WINDOWS\System32\remover.exe
[2010.07.21 19:50:20 | 000,081,920 | ---- | M] (eSage Lab) -- C:\Dokumente und Einstellungen\Wir\Desktop\remover.exe
[2010.07.18 07:32:57 | 001,042,162 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.07.18 07:32:57 | 000,448,970 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.07.18 07:32:57 | 000,432,690 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.07.18 07:32:57 | 000,080,488 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.07.18 07:32:57 | 000,067,646 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.07.16 21:30:24 | 000,096,256 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.16 20:26:02 | 000,524,288 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Desktop\OM636.3gp
[2010.07.12 18:56:34 | 000,690,076 | ---- | M] () -- C:\Dokumente und Einstellungen\Wir\Desktop\Haube Rainer.JPG
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.03 22:10:43 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.03 19:32:12 | 000,000,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Wir\Desktop\MBRCheck_MBR_Backup_08-03-10_19-32-12.bak
[2010.08.03 17:52:58 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.08.03 17:52:58 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.08.03 17:52:58 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.08.02 21:07:19 | 000,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\Wir\Desktop\MBRCheck.exe
[2010.08.02 18:53:49 | 000,006,662 | ---- | C] () -- C:\Dokumente und Einstellungen\Wir\Eigene Dateien\cc_20100802_185338registry.reg
[2010.08.01 11:33:06 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.08.01 11:33:03 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010.08.01 11:30:30 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.08.01 11:30:30 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.08.01 11:28:17 | 003,748,898 | R--- | C] () -- C:\Dokumente und Einstellungen\Wir\Desktop\cofi.exe.exe
[2010.08.01 11:25:37 | 000,248,396 | ---- | C] () -- C:\Dokumente und Einstellungen\Wir\Eigene Dateien\cc_20100801_112535.reg
[2010.08.01 11:19:25 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\Wir\Desktop\CCleaner.lnk
[2010.08.01 09:39:17 | 000,036,061 | ---- | C] () -- C:\Dokumente und Einstellungen\Wir\bootkit_remover_debug_log.txt
[2010.08.01 09:39:17 | 000,000,512 | ---- | C] () -- C:\mbr.mbr
[2010.07.22 16:43:20 | 000,015,975 | ---- | C] () -- C:\Dokumente und Einstellungen\Wir\Desktop\Thermostat OM636 direkt am Kopf.jpg
[2010.07.22 09:14:19 | 002,359,350 | ---- | C] () -- C:\WINDOWS\ACD Wallpaper.bmp
[2010.07.16 21:11:13 | 000,524,288 | ---- | C] () -- C:\Dokumente und Einstellungen\Wir\Desktop\OM636.3gp
[2010.07.12 19:00:18 | 000,450,747 | ---- | C] () -- C:\Dokumente und Einstellungen\Wir\Desktop\gitter haube.JPG
[2010.07.12 18:56:34 | 000,690,076 | ---- | C] () -- C:\Dokumente und Einstellungen\Wir\Desktop\Haube Rainer.JPG
[2010.06.13 13:22:55 | 000,000,261 | ---- | C] () -- C:\WINDOWS\mp3merger.ini
[2009.11.29 16:40:05 | 001,294,336 | ---- | C] () -- C:\WINDOWS\System32\MGIIpl2A6.dll
[2009.11.29 16:39:13 | 001,093,632 | ---- | C] () -- C:\WINDOWS\System32\MGIIpl2PX.dll
[2009.11.29 16:39:13 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\JPEGLIB.DLL
[2009.11.29 16:39:13 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\EnrouteStitch.dll
[2009.11.29 16:39:13 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\MGIIpl2.dll
[2009.11.29 16:39:13 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\CPUINF32.DLL
[2009.11.29 16:39:12 | 000,332,800 | ---- | C] () -- C:\WINDOWS\System32\FPXLIB.DLL
[2009.11.29 16:34:46 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Net-It Now! SE.INI
[2009.11.29 16:07:21 | 000,000,030 | ---- | C] () -- C:\WINDOWS\iedit.INI
[2009.10.25 16:53:51 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009.10.22 22:03:18 | 000,000,088 | ---- | C] () -- C:\WINDOWS\ka.ini
[2009.10.22 22:01:44 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2009.10.22 21:58:49 | 000,000,614 | ---- | C] () -- C:\WINDOWS\disney.ini
[2009.10.22 21:45:51 | 000,000,019 | ---- | C] () -- C:\WINDOWS\Benrep.ini
[2009.10.21 21:17:56 | 000,021,904 | ---- | C] () -- C:\WINDOWS\System32\imsinstall_loc0407.dll
[2009.10.21 21:17:56 | 000,017,808 | ---- | C] () -- C:\WINDOWS\System32\imslsp_install_loc0407.dll
[2009.10.21 21:17:40 | 000,796,048 | ---- | C] () -- C:\WINDOWS\System32\libeay32_0.9.6l.dll
[2009.09.08 21:06:21 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2009.09.02 19:03:50 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2009.08.26 21:41:44 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\BROSNMP.DLL
[2009.08.26 21:41:44 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC32.DLL
[2009.08.26 21:41:44 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC16.DLL
[2009.08.26 21:41:44 | 000,000,453 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.08.26 21:41:44 | 000,000,137 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2009.08.26 21:41:44 | 000,000,040 | ---- | C] () -- C:\WINDOWS\opt_1430.ini
[2009.08.26 21:41:44 | 000,000,039 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI
[2009.08.26 21:41:44 | 000,000,026 | ---- | C] () -- C:\WINDOWS\brpp2ka.ini
[2009.08.26 21:41:44 | 000,000,023 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2009.08.26 21:41:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\BROHL143.INI
[2009.08.26 21:41:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2009.08.26 21:41:42 | 000,013,109 | ---- | C] () -- C:\WINDOWS\HL-1430.INI
[2009.08.26 21:41:33 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\BRSS01A.ini
[2009.08.21 22:08:48 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.08.21 21:58:46 | 000,335,872 | ---- | C] () -- C:\WINDOWS\System32\ldf252.dll
[2009.08.20 23:03:13 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4957.dll
[2009.04.30 22:39:36 | 000,082,289 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[1999.05.11 03:23:00 | 000,000,250 | ---- | C] () -- C:\WINDOWS\acroread.ini
[1999.03.10 03:23:00 | 000,222,928 | ---- | C] () -- C:\WINDOWS\System32\lobas09.dll
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
[1998.01.13 03:23:00 | 000,047,104 | ---- | C] () -- C:\WINDOWS\System32\lotrn13.dll
[1997.11.14 03:23:00 | 000,031,008 | ---- | C] () -- C:\WINDOWS\System32\ivtrn09.dll
[1996.07.09 03:23:00 | 000,000,038 | ---- | C] () -- C:\WINDOWS\loidp13.ini
[1994.07.25 03:23:00 | 000,014,928 | ---- | C] () -- C:\WINDOWS\System32\wingen.drv
[1994.04.07 03:23:00 | 000,000,462 | ---- | C] () -- C:\WINDOWS\lodbf13.ini
 
========== LOP Check ==========
 
[2009.09.19 19:41:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
[2009.08.22 22:43:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Broadcom
[2009.09.08 21:06:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2010.02.07 15:54:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
[2009.08.20 23:15:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2009.08.22 22:28:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ralink
[2009.08.21 22:20:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SBT
[2009.10.21 20:48:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.05.27 18:48:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
[2009.11.29 16:03:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2010.01.08 18:03:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Western Digital
[2009.09.27 22:32:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2010.02.07 15:54:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{BA53D93D-6DA8-41AA-AD03-9D07C35074A6}
[2009.08.21 22:00:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\ACD Systems
[2009.11.21 19:00:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\FarmingSimulator2008
[2010.02.01 22:30:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\InventionOffice
[2010.06.11 22:29:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Leadertech
[2009.08.29 23:17:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Opera
[2009.11.06 21:56:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\TeamViewer
[2010.05.27 18:47:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\TomTom
[2009.11.29 16:07:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Ulead Systems
[2010.08.02 22:21:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Uniblue
[2010.01.08 18:03:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Wir\Anwendungsdaten\Western Digital
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 142 bytes -> C:\WINDOWS\system32:,|ö‹pctlsp.log
@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:7E95B6FD
< End of report >
--- --- ---

rafi911 04.08.2010 18:14
OTL EXTRAS Logfile:
Code:
OTL Extras logfile created on: 04.08.2010 19:04:46 - Run 2
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\Wir\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 68,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): C:\pagefile.sys 4092 5000 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 5,57 Gb Free Space | 3,74% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: FAM-6634P0WGE1G
Current User Name: Wir
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDBrowse] -- "C:\PROGRA~2\ACDSYS~1\ACDSee\ACDSee.exe" "%1" (ACD Systems, Ltd.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4100:UDP" = 4100:UDP:*:Enabled:uPNP Router Control Port
"86:TCP" = 86:TCP:*:Enabled:BroadCam Video Streaming Server Web Server
"1935:TCP" = 1935:TCP:*:Enabled:BroadCam Video Streaming Server Flash Video Server
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\TeamViewer\Version4\TeamViewer.exe" = C:\Programme\TeamViewer\Version4\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{00040407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Disc 2
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0C34B801-6AEC-4667-B053-03A67E2D0415}" = Apple Application Support
"{153F839F-0A63-41D8-890F-7324C0E13743}" = Broadcom Driver v4.170.25.12_Foxconn Installation Program
"{172423F9-522A-483A-AD65-03600CE4CA4F}" = Microsoft Works 6-9 Converter
"{232DB76D-4751-41A9-9EC2-CDC0DAC1FAB6}" = WD SmartWare
"{24b6a778-0089-4b98-920a-4314840e837b}" = Nero 9 Essentials
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 20
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
"{32180A3A-F7F0-4BD9-924A-B3A271DD35AE}" = Caillous Vorschule
"{32E00E5E-22B1-4D5A-9DC2-CD75E087A5E6}" = Steuer-Spar-Erklärung 2009
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{42A74897-DE10-11D5-AB0D-000374890932}" = Perfect FTP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4D43D635-6FDA-4fa5-AA9B-23CF73D058EA}" = Nero StartSmart OEM
"{560E96B3-356D-4572-9FE3-B44F9AB92622}" = CBL Daten-Shredder
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7748ac8c-18e3-43bb-959b-088faea16fb2}" = Nero StartSmart
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = USB2.0 Card Reader Software
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B8E1C10-3952-48D3-BC66-F223DDC3A556}" = Firefox 3.6 WEB.DE Edition
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}" = QuickTime
"{A4D7B764-4140-11D4-88EB-0050DA3579C0}" = Nero - Burning Rom
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{b2ec4a38-b545-4a00-8214-13fe0e915e6d}" = Advertising Center
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{bd5ca0da-71ad-43da-b19e-6eee0c9adc9a}" = Nero ControlCenter
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010
"{dba84796-8503-4ff0-af57-1747dd9a166d}" = Nero Online Upgrade
"{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}" = AAVUpdateManager
"{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{e8a80433-302b-4ff1-815d-fcc8eac482ff}" = Nero Installer
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F389ED5D-77EF-11D6-B235-0050DACD394D}" = Disneys Winnie Puuhs Bilderbuch
"{FDE773CD-9201-4655-87F3-4E051860D47D}" = Ralink Wireless LAN Installation Program for XP v1.4.0.0
"7-Zip" = 7-Zip 4.65
"ACDSee" = ACDSee
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Audiograbber" = Audiograbber 1.83 SE
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Brother HL-1430" = Brother HL-1430
"CCleaner" = CCleaner
"CNXT_AUDIO_HDA" = Conexant HD Audio
"Direct MP3 Joiner_is1" = Direct MP3 Joiner version 3.0.1.5
"etope Lister_is1" = 1.25
"Firefox 3.6 WEB.DE Edition" = Firefox 3.6 WEB.DE Edition
"FRANKIE - LUSTIGE WELTREISE" = FRANKIE - LUSTIGE WELTREISE
"Free CD to MP3 Converter" = Free CD to MP3 Converter
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 8.64" = GPL Ghostscript 8.64
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"LManager" = Launch Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MozBackup" = MozBackup 1.4.10
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"SmartSuite V99.0" = Lotus SmartSuite Version 9.5
"Surf & E-Mail-Stick" = Surf & E-Mail-Stick
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TeamViewer 4" = TeamViewer 4
"WBFS Manager 3.0" = WBFS Manager 3.0
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"Xilisoft DPG Converter" = Xilisoft DPG Converter
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoneAlarm" = ZoneAlarm
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 03.08.2010 15:05:15 | Computer Name = FAM-6634P0WGE1G | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
Error - 03.08.2010 15:13:27 | Computer Name = FAM-6634P0WGE1G | Source = WDSmartWareBackgroundService | ID = 0
Description =
 
Error - 03.08.2010 15:13:29 | Computer Name = FAM-6634P0WGE1G | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved
.
 
Error - 04.08.2010 03:17:23 | Computer Name = FAM-6634P0WGE1G | Source = WDSmartWareBackgroundService | ID = 0
Description =
 
Error - 04.08.2010 03:17:34 | Computer Name = FAM-6634P0WGE1G | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
Error - 04.08.2010 06:47:38 | Computer Name = FAM-6634P0WGE1G | Source = WDSmartWareBackgroundService | ID = 0
Description =
 
Error - 04.08.2010 06:47:48 | Computer Name = FAM-6634P0WGE1G | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
Error - 04.08.2010 10:26:34 | Computer Name = FAM-6634P0WGE1G | Source = WDSmartWareBackgroundService | ID = 0
Description =
 
Error - 04.08.2010 13:00:14 | Computer Name = FAM-6634P0WGE1G | Source = WDSmartWareBackgroundService | ID = 0
Description =
 
Error - 04.08.2010 13:00:24 | Computer Name = FAM-6634P0WGE1G | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: A connection with the server could not be established
.
 
[ System Events ]
Error - 04.08.2010 03:17:25 | Computer Name = FAM-6634P0WGE1G | Source = Service Control Manager | ID = 7002
Description = Der Dienst "BrPar" ist von der Gruppe "Parallel arbitrator" abhängig.
 Kein Mitglied dieser Gruppe wurde jedoch gestartet.
 
Error - 04.08.2010 03:17:25 | Computer Name = FAM-6634P0WGE1G | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 04.08.2010 06:47:41 | Computer Name = FAM-6634P0WGE1G | Source = Service Control Manager | ID = 7002
Description = Der Dienst "BrPar" ist von der Gruppe "Parallel arbitrator" abhängig.
 Kein Mitglied dieser Gruppe wurde jedoch gestartet.
 
Error - 04.08.2010 06:47:41 | Computer Name = FAM-6634P0WGE1G | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 04.08.2010 10:26:37 | Computer Name = FAM-6634P0WGE1G | Source = Service Control Manager | ID = 7002
Description = Der Dienst "BrPar" ist von der Gruppe "Parallel arbitrator" abhängig.
 Kein Mitglied dieser Gruppe wurde jedoch gestartet.
 
Error - 04.08.2010 10:26:37 | Computer Name = FAM-6634P0WGE1G | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 04.08.2010 12:58:27 | Computer Name = FAM-6634P0WGE1G | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
 "\Device\NetBT_Tcpip_{CB4DFCD1-0342-46BC-9794-E157E23F8BCB}" zu oft fehl.  Der Sicherungssuchdienst
 wird beendet.
 
Error - 04.08.2010 13:00:16 | Computer Name = FAM-6634P0WGE1G | Source = Service Control Manager | ID = 7002
Description = Der Dienst "BrPar" ist von der Gruppe "Parallel arbitrator" abhängig.
 Kein Mitglied dieser Gruppe wurde jedoch gestartet.
 
Error - 04.08.2010 13:00:16 | Computer Name = FAM-6634P0WGE1G | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 04.08.2010 13:06:07 | Computer Name = FAM-6634P0WGE1G | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
 "\Device\NetBT_Tcpip_{CB4DFCD1-0342-46BC-9794-E157E23F8BCB}" zu oft fehl.  Der Sicherungssuchdienst
 wird beendet.
 
 
< End of report >
--- --- ---

rafi911 04.08.2010 20:02
GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-04 20:59:25
Windows 5.1.2600 Service Pack 3
Running: 88x6ps87.exe; Driver: C:\DOKUME~1\Wir\LOKALE~1\Temp\awacyfog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwConnectPort [0xA6CC6040]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwCreateFile [0xA6CC2930]
SSDT            BA71848E                                                                                                                                                                                                                                                                          ZwCreateKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwCreatePort [0xA6CC6510]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwCreateProcess [0xA6CCC870]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwCreateProcessEx [0xA6CCCAA0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwCreateSection [0xA6CCFFD0]
SSDT            BA718484                                                                                                                                                                                                                                                                          ZwCreateThread
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwCreateWaitablePort [0xA6CC6600]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwDeleteFile [0xA6CC2F20]
SSDT            BA718493                                                                                                                                                                                                                                                                          ZwDeleteKey
SSDT            BA71849D                                                                                                                                                                                                                                                                          ZwDeleteValueKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwDuplicateObject [0xA6CCC580]
SSDT            BA7184A2                                                                                                                                                                                                                                                                          ZwLoadKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwOpenFile [0xA6CC2D70]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwOpenProcess [0xA6CCC350]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwOpenThread [0xA6CCC150]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwRenameKey [0xA6CCF250]
SSDT            BA7184AC                                                                                                                                                                                                                                                                          ZwReplaceKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwRequestWaitReplyPort [0xA6CC5C00]
SSDT            BA7184A7                                                                                                                                                                                                                                                                          ZwRestoreKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwSecureConnectPort [0xA6CC6220]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwSetInformationFile [0xA6CC3120]
SSDT            BA718498                                                                                                                                                                                                                                                                          ZwSetValueKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                                                                                                                                                                                                        ZwTerminateProcess [0xA6CCCCD0]

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwCallbackReturn + 2424                                                                                                                                                                                                                                              80501C5C 12 Bytes  [10, 65, CC, A6, 70, C8, CC, ...]
?              srescan.sys                                                                                                                                                                                                                                                                        Das System kann die angegebene Datei nicht finden. !
.text          C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                                                                                                                                                                                          section is writeable [0xA68FF000, 0x328BA, 0xE8000020]
.pklstb        C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                                                                                                                                                                                          entry point in ".pklstb" section [0xA6943000]
.relo2          C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                                                                                                                                                                                          unknown last section [0xA695F000, 0x8E, 0x42000040]

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                                                                                                                                                                                                                          vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                                                                                                                                                            wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                                                                                                                                                                            wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device          \Driver\Tcpip \Device\Tcp                                                                                                                                                                                                                                                          vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Udp                                                                                                                                                                                                                                                          vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp                                                                                                                                                                                                                                                        vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                                                                                                                                                                                  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                                                                                                                                                                                             
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG12.00.00.01PROFESSIONAL                                                                                                                                                                                             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
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION                                                                                                                                                                                             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
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{925E058A-9A62-2C41-9DBE-D250D23052DD}                                                                                                                                                                   
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{925E058A-9A62-2C41-9DBE-D250D23052DD}@oammhmedbmeglaoombcedkkeiahnji                                                                                                                                    0x64 0x61 0x6C 0x63 ...
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{925E058A-9A62-2C41-9DBE-D250D23052DD}@oainhpkcijlfffkfmiebjedlpoaeni                                                                                                                                    0x6A 0x61 0x6C 0x63 ...
Reg            HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{925E058A-9A62-2C41-9DBE-D250D23052DD}@naomnpjeookdkeofdjbakaagdien                                                                                                                                      0x6A 0x61 0x6C 0x63 ...

---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\Wir\Eigene Dateien\Sicherungen Bilder 2003-2009\Sicherung 07_2009\Rainer Bilder\Rainer\Downloads\3609_Bibi_and_Tina_The_Great_Paper_Chase_EUR_MULTi3_NDS-OneUp\3609_Bibi_and_Tina_The_Great_Paper_Chase_EUR_MULTi3_NDS-OneUp\1u-bibit\BIBIAN~1.NDS  16777216 bytes

---- EOF - GMER 1.0.15 ----
--- --- ---



So das wars :-)

Swisstreasure 04.08.2010 20:15
Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben cofi.exe.exe /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Schritt 2
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

rafi911 04.08.2010 20:59
Hi Swiss,

er zeigt an, das die Datei cofi.exe.exe nicht gefunden wird :-(
Kann ich die anders noch deinstallieren?

Danke+Gruß
Rainer

Swisstreasure 04.08.2010 21:48
Lösche die CF Datei auf dem Desktop und zudem den Ordner C:\Qoobox

Dann starte CF erneut wie in Schritt 2 beschrieben.

rafi911 04.08.2010 22:08
Combofix Logfile:
Code:
ComboFix 10-08-04.04 - Wir 04.08.2010  22:58:17.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1977.1350 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Wir\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Wir\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-04 bis 2010-08-04  ))))))))))))))))))))))))))))))
.

2010-08-03 20:10 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-03 20:10 . 2010-08-03 20:10        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-03 20:10 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-02 20:21 . 2010-08-02 20:21        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Uniblue
2010-08-02 20:21 . 2010-08-02 20:21        --------        d-----w-        c:\programme\Uniblue
2010-08-02 18:26 . 2010-08-02 18:26        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-08-01 09:19 . 2010-08-01 09:19        --------        d-----w-        c:\programme\CCleaner
2010-08-01 07:38 . 2010-07-21 17:50        81920        ----a-w-        c:\windows\system32\remover.exe
2010-08-01 07:25 . 2010-08-01 07:25        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Malwarebytes
2010-08-01 07:25 . 2010-08-01 07:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-20 17:16 . 2010-07-20 17:16        --------        d-----w-        C:\found.000
2010-07-17 07:19 . 2010-07-17 07:19        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-07-17 07:19 . 2010-07-17 07:20        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\NCH
2010-07-16 19:44 . 2010-07-16 19:44        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-07-16 19:44 . 2010-07-16 19:44        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\NCH
2010-07-16 19:29 . 2010-07-16 19:29        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\NCH Software
2010-07-16 19:29 . 2010-07-17 09:19        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NCH Software
2010-07-16 19:29 . 2010-07-16 19:29        52224        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}\components\FFExternalAlert.dll
2010-07-16 19:29 . 2010-07-16 19:29        101376        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}\components\RadioWMPCore.dll
2010-07-16 19:29 . 2010-07-16 19:29        --------        d-----w-        c:\programme\Conduit
2010-07-16 19:29 . 2010-07-16 19:29        --------        d-----w-        c:\dokumente und einstellungen\Wir\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-07-16 19:29 . 2010-07-17 09:32        --------        d-----w-        c:\programme\NCH
2010-07-16 19:28 . 2010-07-17 09:19        --------        d-----w-        c:\programme\NCH Software
2010-07-16 19:17 . 2010-07-16 19:20        --------        dc-h--w-        c:\windows\ie8
2010-07-14 05:22 . 2010-06-14 14:31        744448        -c----w-        c:\windows\system32\dllcache\helpsvc.exe
2010-07-07 10:34 . 2010-07-07 10:34        --------        d-sh--w-        c:\windows\system32\config\systemprofile\PrivacIE

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-04 21:02 . 2009-10-21 19:20        75644960        --sha-w-        c:\windows\system32\drivers\fidbox.dat
2010-08-04 17:15 . 2009-10-21 19:20        886532        --sha-w-        c:\windows\system32\drivers\fidbox.idx
2010-08-03 15:52 . 2009-08-21 14:48        68504        ----a-w-        c:\dokumente und einstellungen\Wir\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-01 20:04 . 2010-08-02 06:02        2522112        ----a-w-        c:\windows\Internet Logs\xDB3.tmp
2010-08-01 09:25 . 2009-09-10 20:43        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-31 16:35 . 2010-06-03 13:11        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Skype
2010-07-31 15:41 . 2010-06-03 13:14        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\skypePM
2010-07-18 05:32 . 2002-08-29 12:00        80488        ----a-w-        c:\windows\system32\perfc007.dat
2010-07-18 05:32 . 2002-08-29 12:00        448970        ----a-w-        c:\windows\system32\perfh007.dat
2010-07-10 09:42 . 2010-05-27 16:46        --------        d-----w-        c:\programme\TomTom HOME 2
2010-07-04 08:57 . 2010-07-04 08:57        --------        d-----w-        c:\programme\Trend Micro
2010-07-04 07:36 . 2010-07-04 07:36        503808        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-61b68702-n\msvcp71.dll
2010-07-04 07:36 . 2010-07-04 07:36        499712        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-61b68702-n\jmc.dll
2010-07-04 07:36 . 2010-07-04 07:36        348160        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-61b68702-n\msvcr71.dll
2010-07-04 07:36 . 2010-07-04 07:36        12800        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-13dfc789-n\decora-d3d.dll
2010-07-04 07:36 . 2010-07-04 07:36        61440        ----a-w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-13dfc789-n\decora-sse.dll
2010-07-04 07:36 . 2010-07-04 07:36        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-07-04 07:35 . 2009-12-30 07:50        --------        d-----w-        c:\programme\Java
2010-07-04 07:12 . 2009-08-21 20:08        4990        ----a-w-        c:\windows\Help\hhcolreg.dat
2010-07-03 21:22 . 2010-07-03 21:22        189384        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-07-03 16:16 . 2009-09-30 09:39        --------        d-----w-        c:\programme\Windows Media Connect 2
2010-07-03 16:07 . 2009-10-22 19:59        --------        d-----w-        c:\programme\Disney Interactive
2010-07-03 16:02 . 2010-05-30 16:21        --------        d-----w-        c:\programme\JDownloader
2010-06-14 14:31 . 2009-08-20 20:52        744448        ----a-w-        c:\windows\PCHealth\HelpCtr\Binaries\helpsvc.exe
2010-06-13 10:52 . 2010-06-13 10:52        --------        d-----w-        c:\programme\Direct MP3 Joiner
2010-06-13 10:17 . 2010-06-13 10:10        --------        d-----w-        c:\programme\CD to MP3 Freeware
2010-06-13 06:22 . 2010-06-11 20:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2010-06-13 06:22 . 2010-06-11 20:26        --------        d-----w-        c:\programme\Gemeinsame Dateien\logishrd
2010-06-12 10:46 . 2010-06-12 10:47        2275840        ----a-w-        c:\windows\Internet Logs\xDB2.tmp
2010-06-11 20:29 . 2010-06-11 20:29        --------        d-----w-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Leadertech
2010-06-10 19:56 . 2010-01-07 07:09        8475208        ----a-w-        c:\windows\Internet Logs\tvDebug.zip
2010-06-03 13:14 . 2010-06-03 13:14        56        ---ha-w-        c:\windows\system32\ezsidmv.dat
2010-05-20 11:30 . 2009-10-22 20:01        43520        ----a-w-        c:\windows\system32\CmdLineExt03.dll
2010-05-09 16:42 . 2010-05-09 16:42        4710        ----a-r-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Microsoft\Installer\{560E96B3-356D-4572-9FE3-B44F9AB92622}\_294823.exe
2010-05-09 16:42 . 2010-05-09 16:42        4710        ----a-r-        c:\dokumente und einstellungen\Wir\Anwendungsdaten\Microsoft\Installer\{560E96B3-356D-4572-9FE3-B44F9AB92622}\_18be6784.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2008-06-17 150040]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2008-06-17 170520]
"Persistence"="c:\windows\System32\igfxpers.exe" [2008-06-17 141848]
"AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-06-09 870920]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-03-05 1434920]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-04 417792]
"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"Net-It Launcher"="c:\windows\system32\NILaunch.exe" [1998-02-05 24576]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4100:UDP"= 4100:UDP:uPNP Router Control Port
"86:TCP"= 86:TCP:BroadCam Video Streaming Server Web Server
"1935:TCP"= 1935:TCP:BroadCam Video Streaming Server Flash Video Server

R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.10.2009 21:08 108289]
R2 WDDMService;WD SmartWare Drive Manager;c:\programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [13.11.2009 12:28 110592]
R2 WDSmartWareBackgroundService;WD SmartWare Background Service;c:\programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe [16.06.2009 09:58 20480]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [20.08.2009 07:32 39424]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [20.08.2009 23:08 164864]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [08.01.2010 18:02 11520]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - AWACYFOG
*Deregistered* - awacyfog

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper        REG_MULTI_SZ          getPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2010-07-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&q=
FF - prefs.js: network.proxy.type - 4
FF - component: c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}\components\RadioWMPCore.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\dokumente und einstellungen\Wir\Anwendungsdaten\Mozilla\Firefox\Profiles\r2liucfw.Standard-Benutzer\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-04 23:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e0,aa,0d,da,ac,60,d1,42,bd,8d,0a,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e0,aa,0d,da,ac,60,d1,42,bd,8d,0a,\

[HKEY_USERS\S-1-5-21-117609710-1409082233-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{925E058A-9A62-2C41-9DBE-D250D23052DD}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oammhmedbmeglaoombcedkkeiahnji"=hex:64,61,6c,63,6c,6b,6e,69,00,85
"oainhpkcijlfffkfmiebjedlpoaeni"=hex:6a,61,6c,63,61,6c,6a,6c,6b,61,63,6a,68,62,
  62,68,65,70,70,6f,00,00
"naomnpjeookdkeofdjbakaagdien"=hex:6a,61,6c,63,61,6c,6a,6c,6b,61,63,6a,68,62,
  62,68,65,70,70,6f,00,00

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
Zeit der Fertigstellung: 2010-08-04  23:05:10
ComboFix-quarantined-files.txt  2010-08-04 21:05
ComboFix2.txt  2010-08-03 16:04

Vor Suchlauf: 5.859.164.160 Bytes frei
Nach Suchlauf: 5.858.578.432 Bytes frei

- - End Of File - - FCBFE0989C8DF13539C8B19AB3DEF523
--- --- ---

rafi911 04.08.2010 22:08
bis morgen.....

Rainer

Swisstreasure 04.08.2010 22:39
Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben Combo-Fix.exe /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Schritt 2

Sicherheitsrisiko Adobe Arcrobat Reader

Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Die Empfehlung lautet, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader 9.3.x herunter und installiere ihn, achte bei der Installation darauf, Zusatzprogramme und/oder Toolbars abzuwählen.

Da der Adobe Acrobat Reader immer häufiger für gezielte Verbreitung von Malware genutzt wird, kannst Du stattdessen auch einen alternativen PDF-Anzeiger zu nutzen, beispielsweise den Foxit PDF Reader. Er ist "schlanker" und benutzt weniger Resourcen. Achte auch hier darauf, bei der Installation Zusatzprogramme und/oder Toolbars abzuwählen.

Schritt 3

Was jetzt nötig ist, sind Online-Scans, da wir immer nur einen kleinen Teil des Rechners prüfen können. Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer.

Vorbereitung
  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während der Online-Scans deaktivieren:
    Anti-Virus-Programm und Firewall.
  • Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
  • unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
    Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
  • Während der Online-Scans auf andere Online-Aktivitäten verzichten.
  • Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.

  • http://image.hijackthis.eu/upload/activex1.jpg
    .

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
    • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Hacken bei Yes, i accept the Terms of Use.
  • Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Remove found threads" und "Scan archives".
  • http://img707.imageshack.us/img707/687/starteg.jpg drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.

rafi911 05.08.2010 18:31
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetesets_scanner_update returned -1 esets_gle=1
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=fd9f78eefbd05749a72f288281f3d81f
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-08-05 04:04:10
# local_time=2010-08-05 06:04:10 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 2788506 2788506 0 0
# compatibility_mode=1797 16775141 100 100 546391 56537676 0 0
# compatibility_mode=8192 67108863 100 0 328 328 0 0
# compatibility_mode=9217 16777213 100 64 24869603 65435263 0 0
# scanned=24464
# found=1
# cleaned=1
# scan_time=1882
C:\Dokumente und Einstellungen\Wir\Eigene Dateien\Sicherungen Bilder 2003-2009\Sicherung 07_2009\Rainer Bilder\Rainer\Downloads\Setup_ClearProg_1.5.0_Final.exe a variant of Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
ESETSmartInstaller@High as downloader log:
Can not open internetesets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=fd9f78eefbd05749a72f288281f3d81f
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-08-05 05:29:36
# local_time=2010-08-05 07:29:36 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 2790592 2790592 0 0
# compatibility_mode=1797 16775141 100 100 548477 56539762 0 0
# compatibility_mode=8192 67108863 100 0 2414 2414 0 0
# compatibility_mode=9217 16777213 100 64 24871689 65437349 0 0
# scanned=92739
# found=0
# cleaned=0
# scan_time=4923

Swisstreasure 05.08.2010 23:19
Sind noch Probleme vorhanden?

rafi911 06.08.2010 06:35
Hi Swiss,

Nee, alles OK wieder.
Kannst Du sagen wo der Fehler war?
Mit welchen Programm sollte ich später mal scanen, wenn ich monatlich meine Datensicherung mache? Welches wäre am sinnvollsten?

Danke für die Hilfe!!

Gruß
Rainer

Swisstreasure 06.08.2010 19:21
Zitat:
Kannst Du sagen wo der Fehler war?
Das kann ich leider nicht sagen wie Du Dir das eingefangen hast.

Zitat:
Mit welchen Programm sollte ich später mal scanen, wenn ich monatlich meine Datensicherung mache? Welches wäre am sinnvollsten?
Ich gebe Dir hier im Anschluss noch einige nützliche Tips.

Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben Combo-Fix.exe /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Schritt 2

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Schritt 3

Nachsorge

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra :).

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
  • Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
  • Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
  • Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
  • Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
  • Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Weitere Maßnahmen

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich CCleaner, (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe unsere Anleitung. Bei http://www.trojaner-board.de/105213-java-update-einstellungen.html]Java (Sun)[/URL] immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:
  • System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
  • Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
  • Internet Explorer sicher konfigurieren.
  • Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
  • Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
  • Nicht alles anklicken, wo klickmich draufsteht!
  • Gesunden Menschenverstand und Vorsicht walten lassen,
  • insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
  • am besten auf Filesharing über P2P-Programme ganz verzichten.
  • Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
  • Nicht benötigte Dienste und Programme gar nicht erst starten.
    Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
  • Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
  • Port-Scan-Test.
  • WLAN absichern.
  • Sichere Passwörter vergeben.
  • Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
  • Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
  • Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
  • Datensicherung nicht vergessen!
    Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.

rafi911 06.08.2010 20:28
Hallo Swiss,

Danke für die Hilfe!!!
Ich werde die Punkte mal anschauen....

Gruß
Rainer

Swisstreasure 17.08.2010 12:14
Dieses Thema scheint erledigt und wird aus den Abos gelöscht. Solltest Du das Thema erneut benötigen, bitte eine PN an mich.

Jeder andere möge bitte einen eigenen Thread starten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27