Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Security HiJack, firefox öffnet nur bedingt seiten, systemwiederherstellung ist grau hinterlegt (https://www.trojaner-board.de/91496-security-hijack-firefox-oeffnet-nur-bedingt-seiten-systemwiederherstellung-grau-hinterlegt.html)

stella00725 05.10.2010 20:11
Security HiJack, firefox öffnet nur bedingt seiten, systemwiederherstellung ist grau hinterlegt
 
Hallo Trojaner Board Mitglieder,

ich bin seit drei Tagen dauerhaft auf der Suche (Google und das was sich noch anzeigen lässt) nach einer Lösung für mein Problem mit meinem PC und ich erwähne lieber gleich das ich mit solchen virus, trojanern und würmern sachen nicht sehr viel ahnung habe.

Ich hoffe Ihr könnt mir helfen, ich glaub ich hab größere Probleme.

Mein Firefox öffnet seit ca 2-3 tagen nur noch bedingt seiten, er lädt dann eine weile und sagt: Netzwerk Zeitüberschreitung ( nicht alle aber viele seiten)

Meine Systemwiederherstellung ist deaktiviert und zudem grau hinterlegt, deswegen begab ich mich eigentlich auf die suche nach informationen.

Soweit sogut.

Virenprogramm: Avira Antivir Personal
Produktversion 10.0.0.567 19.04.2010
Suchengine 8.02.04.72 30.09.2010
Virendefinitionsdatei 7.10.12.136 05.10.2010
Control Center 10.00.12.28 22.02.2010
Config Center 10.00.13.15 12.04.2010
Luke Filewalker 10.00.03.00 01.04.2010
AntiVir Guard 10.00.01.44 01.04.2010
Filter 10.00.02.02 16.02.2010
Planer 10.00.00.17 24.02.2010
Updater 10.00.00.29 30.03.2010

Firewall: Windows Firewall aktiv, updates automatisch

C Cleaner: v2.36.1233

hijackthis und malwarebytes hab ich mir heute runtergeladen und folgendes entdeckt:
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:20:58, on 05.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Dokumente und Einstellungen\Ich\Eigene Dateien\Downloads\HiJackThis204.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 74.7.48.7 msnfix.changelog.fr
O1 - Hosts: 74.7.48.7 www.incodesolutions.com
O1 - Hosts: 74.7.48.7 virusinfo.prevx.com
O1 - Hosts: 74.7.48.7 download.bleepingcomputer.com
O1 - Hosts: 74.7.48.7 www.dazhizhu.cn
O1 - Hosts: 74.7.48.7 foro.noticias3d.com
O1 - Hosts: 74.7.48.7 www.spybotupdates.com
O1 - Hosts: 74.7.48.7 club.myce.com
O1 - Hosts: 74.7.48.7 www.k7computing.com
O1 - Hosts: 74.7.48.7 softwaresecuritysolutions.com
O1 - Hosts: 74.7.48.7 www.nabble.com
O1 - Hosts: 74.7.48.7 lurker.clamav.net
O1 - Hosts: 74.7.48.7 lexikon.ikarus.at
O1 - Hosts: 74.7.48.7 research.sunbelt-software.com
O1 - Hosts: 74.7.48.7 www.virusdoctor.jp
O1 - Hosts: 74.7.48.7 www.elitepvpers.de
O1 - Hosts: 74.7.48.7 guru.avg.com
O1 - Hosts: 74.7.48.7 downloads.sophos.com
O1 - Hosts: 74.7.48.7 share.skype.com
O1 - Hosts: 74.7.48.7 myantispyware.com
O1 - Hosts: 74.7.48.7 www.computerhilfen.de
O1 - Hosts: 74.7.48.7 www.superuser.co.kr
O1 - Hosts: 74.7.48.7 ntfaq.co.kr
O1 - Hosts: 74.7.48.7 v.dreamwiz.com
O1 - Hosts: 74.7.48.7 cit.kookmin.ac.kr
O1 - Hosts: 74.7.48.7 forums.whatthetech.com
O1 - Hosts: 74.7.48.7 forum.hijackthis.de
O1 - Hosts: 74.7.48.7 avg.vo.llnwd.net
O1 - Hosts: 74.7.48.7 ftp.drweb.com
O1 - Hosts: 74.7.48.7 www.zonealarm.com
O1 - Hosts: 74.7.48.7 smadaver.com
O1 - Hosts: 74.7.48.7 support.emsisoft.com
O1 - Hosts: 74.7.48.7 www.huaifai.go.th
O1 - Hosts: 74.7.48.7 www.mostz.com
O1 - Hosts: 74.7.48.7 www.krupunmai.com
O1 - Hosts: 74.7.48.7 www.cddchiangmai.net
O1 - Hosts: 74.7.48.7 forum.malekal.com
O1 - Hosts: 74.7.48.7 tech.pantip.com
O1 - Hosts: 74.7.48.7 sapcupgrades.com
O1 - Hosts: 74.7.48.7 www.elguruinformatico.com
O1 - Hosts: 74.7.48.7 forums.avg.com
O1 - Hosts: 74.7.48.7 zastita.com
O1 - Hosts: 74.7.48.7 www.247fixes.com
O1 - Hosts: 74.7.48.7 forum.sysinternals.com
O1 - Hosts: 74.7.48.7 forum.telecharger.01net.com
O1 - Hosts: 74.7.48.7 sophos.com
O1 - Hosts: 74.7.48.7 foros.softonic.com
O1 - Hosts: 74.7.48.7 avast-home.uptodown.com
O1 - Hosts: 74.7.48.7 dr-web-cureit.softonic.com
O1 - Hosts: 74.7.48.7 heavenward.ru
O1 - Hosts: 74.7.48.7 forum.smadav.net
O1 - Hosts: 74.7.48.7 www.f-secure.com
O1 - Hosts: 74.7.48.7 www.chkrootkit.org
O1 - Hosts: 74.7.48.7 diamondcs.com.au
O1 - Hosts: 74.7.48.7 www.rootkit.nl
O1 - Hosts: 74.7.48.7 www.sysinternals.com
O1 - Hosts: 74.7.48.7 z-oleg.com
O1 - Hosts: 74.7.48.7 espanol.dir.groups.yahoo.com
O1 - Hosts: 74.7.48.7 ftp01net.telechargement.fr
O1 - Hosts: 74.7.48.7 modelayu.com
O1 - Hosts: 74.7.48.7 vaksin.com
O1 - Hosts: 74.7.48.7 www.castlecrops.com
O1 - Hosts: 74.7.48.7 www.misec.net
O1 - Hosts: 74.7.48.7 safecomputing.umn.edu
O1 - Hosts: 74.7.48.7 www.antirootkit.com
O1 - Hosts: 74.7.48.7 www.greatis.com
O1 - Hosts: 74.7.48.7 ar.answers.yahoo.com
O1 - Hosts: 74.7.48.7 www.elhacker.org
O1 - Hosts: 74.7.48.7 research.pandasecurity.com
O1 - Hosts: 74.7.48.7 www.tpu.ro
O1 - Hosts: 74.7.48.7 www.pinoyden.com
O1 - Hosts: 74.7.48.7 forum.avira.de
O1 - Hosts: 74.7.48.7 www.rootkit.com
O1 - Hosts: 74.7.48.7 www.pctools.com
O1 - Hosts: 74.7.48.7 www.pcsupportadvisor.com
O1 - Hosts: 74.7.48.7 www.resplendence.com
O1 - Hosts: 74.7.48.7 www.personal.psu.edu
O1 - Hosts: 74.7.48.7 foro.ethek.com
O1 - Hosts: 74.7.48.7 foro.elhacker.net
O1 - Hosts: 74.7.48.7 download.zonealarm.com
O1 - Hosts: 74.7.48.7 spywarehammer.com
O1 - Hosts: 74.7.48.7 www.codelain.com
O1 - Hosts: 74.7.48.7 www.thaicert.org
O1 - Hosts: 74.7.48.7 vil.nail.com
O1 - Hosts: 74.7.48.7 search.mcafee.com
O1 - Hosts: 74.7.48.7 wwww.mcafee.com
O1 - Hosts: 74.7.48.7 download.nai.com
O1 - Hosts: 74.7.48.7 wwww.experts-exchange.com
O1 - Hosts: 74.7.48.7 www.bakunos.com
O1 - Hosts: 74.7.48.7 www.darkclockers.com
O1 - Hosts: 74.7.48.7 www2.gmer.net
O1 - Hosts: 74.7.48.7 ariefew.com
O1 - Hosts: 74.7.48.7 www.emsisoft.com
O1 - Hosts: 74.7.48.7 forum.romeonet.ro
O1 - Hosts: 74.7.48.7 www.Merijn.org
O1 - Hosts: 74.7.48.7 www.spywareinfo.com
O1 - Hosts: 74.7.48.7 www.spybot.info
O1 - Hosts: 74.7.48.7 www.viruslist.com
O1 - Hosts: 74.7.48.7 www.hijackthis.de
O1 - Hosts: 74.7.48.7 ftp.f-secure.com
O1 - Hosts: 74.7.48.7 es.trendmicro-europe.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PhilipsDM] C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe OS_STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.csl-computer.com
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 
--
End of file - 12398 bytes
--- --- ---


das war der erste log.

danach hab ich malwarebytes eingesetzt:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4747

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05.10.2010 19:56:27
mbam-log-2010-10-05 (19-56-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 209361
Laufzeit: 17 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ich habe die infizierten objekte löschen lassen.
so und dann nochmal hijack:


HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:12:59, on 05.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Dokumente und Einstellungen\Ich\Eigene Dateien\Downloads\HiJackThis204.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 74.7.48.7 msnfix.changelog.fr
O1 - Hosts: 74.7.48.7 www.incodesolutions.com
O1 - Hosts: 74.7.48.7 virusinfo.prevx.com
O1 - Hosts: 74.7.48.7 download.bleepingcomputer.com
O1 - Hosts: 74.7.48.7 www.dazhizhu.cn
O1 - Hosts: 74.7.48.7 foro.noticias3d.com
O1 - Hosts: 74.7.48.7 www.spybotupdates.com
O1 - Hosts: 74.7.48.7 club.myce.com
O1 - Hosts: 74.7.48.7 www.k7computing.com
O1 - Hosts: 74.7.48.7 softwaresecuritysolutions.com
O1 - Hosts: 74.7.48.7 www.nabble.com
O1 - Hosts: 74.7.48.7 lurker.clamav.net
O1 - Hosts: 74.7.48.7 lexikon.ikarus.at
O1 - Hosts: 74.7.48.7 research.sunbelt-software.com
O1 - Hosts: 74.7.48.7 www.virusdoctor.jp
O1 - Hosts: 74.7.48.7 www.elitepvpers.de
O1 - Hosts: 74.7.48.7 guru.avg.com
O1 - Hosts: 74.7.48.7 downloads.sophos.com
O1 - Hosts: 74.7.48.7 share.skype.com
O1 - Hosts: 74.7.48.7 myantispyware.com
O1 - Hosts: 74.7.48.7 www.computerhilfen.de
O1 - Hosts: 74.7.48.7 www.superuser.co.kr
O1 - Hosts: 74.7.48.7 ntfaq.co.kr
O1 - Hosts: 74.7.48.7 v.dreamwiz.com
O1 - Hosts: 74.7.48.7 cit.kookmin.ac.kr
O1 - Hosts: 74.7.48.7 forums.whatthetech.com
O1 - Hosts: 74.7.48.7 forum.hijackthis.de
O1 - Hosts: 74.7.48.7 avg.vo.llnwd.net
O1 - Hosts: 74.7.48.7 ftp.drweb.com
O1 - Hosts: 74.7.48.7 www.zonealarm.com
O1 - Hosts: 74.7.48.7 smadaver.com
O1 - Hosts: 74.7.48.7 support.emsisoft.com
O1 - Hosts: 74.7.48.7 www.huaifai.go.th
O1 - Hosts: 74.7.48.7 www.mostz.com
O1 - Hosts: 74.7.48.7 www.krupunmai.com
O1 - Hosts: 74.7.48.7 www.cddchiangmai.net
O1 - Hosts: 74.7.48.7 forum.malekal.com
O1 - Hosts: 74.7.48.7 tech.pantip.com
O1 - Hosts: 74.7.48.7 sapcupgrades.com
O1 - Hosts: 74.7.48.7 www.elguruinformatico.com
O1 - Hosts: 74.7.48.7 forums.avg.com
O1 - Hosts: 74.7.48.7 zastita.com
O1 - Hosts: 74.7.48.7 www.247fixes.com
O1 - Hosts: 74.7.48.7 forum.sysinternals.com
O1 - Hosts: 74.7.48.7 forum.telecharger.01net.com
O1 - Hosts: 74.7.48.7 sophos.com
O1 - Hosts: 74.7.48.7 foros.softonic.com
O1 - Hosts: 74.7.48.7 avast-home.uptodown.com
O1 - Hosts: 74.7.48.7 dr-web-cureit.softonic.com
O1 - Hosts: 74.7.48.7 heavenward.ru
O1 - Hosts: 74.7.48.7 forum.smadav.net
O1 - Hosts: 74.7.48.7 www.f-secure.com
O1 - Hosts: 74.7.48.7 www.chkrootkit.org
O1 - Hosts: 74.7.48.7 diamondcs.com.au
O1 - Hosts: 74.7.48.7 www.rootkit.nl
O1 - Hosts: 74.7.48.7 www.sysinternals.com
O1 - Hosts: 74.7.48.7 z-oleg.com
O1 - Hosts: 74.7.48.7 espanol.dir.groups.yahoo.com
O1 - Hosts: 74.7.48.7 ftp01net.telechargement.fr
O1 - Hosts: 74.7.48.7 modelayu.com
O1 - Hosts: 74.7.48.7 vaksin.com
O1 - Hosts: 74.7.48.7 www.castlecrops.com
O1 - Hosts: 74.7.48.7 www.misec.net
O1 - Hosts: 74.7.48.7 safecomputing.umn.edu
O1 - Hosts: 74.7.48.7 www.antirootkit.com
O1 - Hosts: 74.7.48.7 www.greatis.com
O1 - Hosts: 74.7.48.7 ar.answers.yahoo.com
O1 - Hosts: 74.7.48.7 www.elhacker.org
O1 - Hosts: 74.7.48.7 research.pandasecurity.com
O1 - Hosts: 74.7.48.7 www.tpu.ro
O1 - Hosts: 74.7.48.7 www.pinoyden.com
O1 - Hosts: 74.7.48.7 forum.avira.de
O1 - Hosts: 74.7.48.7 www.rootkit.com
O1 - Hosts: 74.7.48.7 www.pctools.com
O1 - Hosts: 74.7.48.7 www.pcsupportadvisor.com
O1 - Hosts: 74.7.48.7 www.resplendence.com
O1 - Hosts: 74.7.48.7 www.personal.psu.edu
O1 - Hosts: 74.7.48.7 foro.ethek.com
O1 - Hosts: 74.7.48.7 foro.elhacker.net
O1 - Hosts: 74.7.48.7 download.zonealarm.com
O1 - Hosts: 74.7.48.7 spywarehammer.com
O1 - Hosts: 74.7.48.7 www.codelain.com
O1 - Hosts: 74.7.48.7 www.thaicert.org
O1 - Hosts: 74.7.48.7 vil.nail.com
O1 - Hosts: 74.7.48.7 search.mcafee.com
O1 - Hosts: 74.7.48.7 wwww.mcafee.com
O1 - Hosts: 74.7.48.7 download.nai.com
O1 - Hosts: 74.7.48.7 wwww.experts-exchange.com
O1 - Hosts: 74.7.48.7 www.bakunos.com
O1 - Hosts: 74.7.48.7 www.darkclockers.com
O1 - Hosts: 74.7.48.7 www2.gmer.net
O1 - Hosts: 74.7.48.7 ariefew.com
O1 - Hosts: 74.7.48.7 www.emsisoft.com
O1 - Hosts: 74.7.48.7 forum.romeonet.ro
O1 - Hosts: 74.7.48.7 www.Merijn.org
O1 - Hosts: 74.7.48.7 www.spywareinfo.com
O1 - Hosts: 74.7.48.7 www.spybot.info
O1 - Hosts: 74.7.48.7 www.viruslist.com
O1 - Hosts: 74.7.48.7 www.hijackthis.de
O1 - Hosts: 74.7.48.7 ftp.f-secure.com
O1 - Hosts: 74.7.48.7 es.trendmicro-europe.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PhilipsDM] C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe OS_STARTUP
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.csl-computer.com
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 
--
End of file - 11754 bytes
--- --- ---

Die hijack seite kann ich natürlich nicht öffnen..., deswegen konnte ich auch dort keine auswertung machen und hoffe nun das ihr mir helfen könnt, wenn es möglich ist möchte ich den pc nicht wieder neu aufspielen!

ich danke euch schonmal für eure mühe!

LG stella

Chris4You 06.10.2010 10:42
Hi,

Deine Hosts-Datei wurde manipuliert! Den Manipulator habe ich noch nicht gefunden, gibt aber ein paar "verdächtige"... ;o)
Wir versuchen die Hostdatei mal zurückzusetzten...

Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:

:Files
ipconfig /flushdns /c

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[EMPTYFLASH]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
  • Doppelklick auf die OTL.exe
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)
  • Poste die Logfiles hier in den Thread

chris

stella00725 06.10.2010 11:44
Gut.
1. OTL log

All processes killed
========== FILES ==========
Invalid Switch: c
========== COMMANDS ==========
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Ich
->Temp folder emptied: 996436 bytes
->Temporary Internet Files folder emptied: 65670 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 43584053 bytes
->Flash cache emptied: 1900 bytes

User: Lara
->Temp folder emptied: 1362113 bytes
->Temporary Internet Files folder emptied: 210130 bytes
->Java cache emptied: 30466005 bytes
->FireFox cache emptied: 18784315 bytes
->Flash cache emptied: 434 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Rommy
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
->Java cache emptied: 12125832 bytes
->FireFox cache emptied: 31641395 bytes
->Flash cache emptied: 1514 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2830336 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16867 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 136,00 mb

Restore point Set: OTL Restore Point (64424509440)

[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User

User: Ich
->Flash cache emptied: 0 bytes

User: Lara
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

User: Rommy
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.1.2 log created on 10062010_120941

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

2. Malwarebytes

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4751

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

06.10.2010 12:33:55
mbam-log-2010-10-06 (12-33-55).txt

Scan type: Full scan (C:\|)
Objects scanned: 206760
Time elapsed: 17 minute(s), 23 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

3. OTL danachOTL Logfile:
Code:
OTL logfile created on: 06.10.2010 12:35:52 - Run 1
OTL by OldTimer - Version 3.2.1.2    Folder = C:\Dokumente und Einstellungen\Ich\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 77,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465,75 Gb Total Space | 446,63 Gb Free Space | 95,89% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MARLEEN
Current User Name: Lara
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Ich\Eigene Dateien\Downloads\lichtinsdunkel.exe (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Philips\Philips Device Manager\bin\DeviceManager.exe (Koninklijke Philips Electronics N.V.)
PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation)
PRC - C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe ()
PRC - C:\Programme\Lexmark X5100 Series\lxbabmon.exe (Lexmark International, Inc.)
PRC - C:\Programme\Lexmark X5100 Series\lxbabmgr.exe (Lexmark International, Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Ich\Eigene Dateien\Downloads\lichtinsdunkel.exe (OldTimer Tools)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (StarOpen) -- C:\WINDOWS\system32\drivers\StarOpen.sys ()
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (NVHDA) -- C:\WINDOWS\system32\drivers\nvhda32.sys (NVIDIA Corporation)
DRV - (nvsmu) -- C:\WINDOWS\system32\drivers\nvsmu.sys (NVIDIA Corporation)
DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (StMp3Rec) -- C:\WINDOWS\system32\drivers\StMp3Rec.sys (Generic)
DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.Csl-Computer.com
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.10.05 23:24:18 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.10.02 01:25:19 | 000,000,000 | ---D | M]
 
[2010.10.05 23:24:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lara\Anwendungsdaten\Mozilla\Extensions
[2010.10.06 09:09:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lara\Anwendungsdaten\Mozilla\Firefox\Profiles\mydk8f4i.default\extensions
[2010.10.06 09:09:00 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Lara\Anwendungsdaten\Mozilla\Firefox\Profiles\mydk8f4i.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.10.05 20:45:05 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.01.16 03:15:29 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.16 03:15:29 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.16 03:15:29 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.16 03:15:29 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.16 03:15:29 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.10.06 12:09:41 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Lexmark X5100 Series] C:\Programme\Lexmark X5100 Series\lxbabmgr.exe (Lexmark International, Inc.)
O4 - HKLM..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [PhilipsDM] C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe (Koninklijke Philips Electronics N.V.)
O4 - HKLM..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe ()
O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (PokerStars)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 172.20.3.18 172.20.3.19
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Lara\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Lara\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.12.28 23:24:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.10.06 12:00:49 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.10.06 10:18:43 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.10.06 09:15:53 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.10.06 09:15:49 | 000,000,000 | ---D | C] -- C:\ComboFix
[2010.10.06 08:39:16 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.10.06 08:39:16 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.10.06 08:39:16 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.10.06 08:38:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.10.06 08:36:55 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.10.05 23:33:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lara\Anwendungsdaten\Macromedia
[2010.10.05 23:24:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lara\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.10.05 23:24:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lara\Anwendungsdaten\Mozilla
[2010.10.05 22:42:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lara\Anwendungsdaten\Avira
[2010.10.05 22:08:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.10.05 22:08:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lara\Anwendungsdaten\Malwarebytes
[2010.10.05 19:30:48 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.05 19:30:47 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.05 19:30:47 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.05 19:30:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.05 11:48:31 | 000,000,000 | ---D | C] -- C:\Programme\FileZilla FTP Client
[2010.10.02 05:59:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010.10.02 01:25:01 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2010.10.02 01:08:48 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
[2010.10.02 01:08:48 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoft
[2010.02.27 10:32:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.02.27 10:27:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.12.28 23:35:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.12.28 23:24:48 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2009.12.28 23:24:48 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
 
========== Files - Modified Within 30 Days ==========
 
[2010.10.06 12:33:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2010.10.06 12:11:40 | 000,249,324 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.10.06 12:11:15 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.06 12:10:58 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.10.06 12:10:53 | 000,000,456 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.10.06 12:10:53 | 000,000,456 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job
[2010.10.06 12:10:53 | 000,000,456 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2010.10.06 12:10:53 | 000,000,456 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job
[2010.10.06 12:10:53 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.10.06 12:10:51 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.06 12:10:03 | 001,572,864 | -H-- | M] () -- C:\Dokumente und Einstellungen\Lara\NTUSER.DAT
[2010.10.06 12:10:03 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Lara\ntuser.ini
[2010.10.06 12:09:41 | 000,000,098 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\Hosts
[2010.10.06 12:03:25 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.10.06 09:23:57 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.10.06 09:15:26 | 003,873,401 | R--- | M] () -- C:\Dokumente und Einstellungen\Lara\Desktop\ComboFix.exe
[2010.10.05 22:13:50 | 000,000,507 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.10.05 22:13:50 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.10.05 19:30:51 | 000,000,695 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.04 23:17:08 | 000,000,614 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2010.10.02 02:01:38 | 000,996,078 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.10.02 02:01:38 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.02 02:01:38 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.02 02:01:38 | 000,079,910 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.02 02:01:38 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.02 01:53:58 | 000,001,894 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MSN Installer.lnk
[2010.10.02 01:25:19 | 000,001,728 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.09.19 18:15:16 | 000,000,480 | ---- | M] () -- C:\WINDOWS\LEXSTAT.INI
 
========== Files Created - No Company Name ==========
 
[2010.10.06 09:13:29 | 003,873,401 | R--- | C] () -- C:\Dokumente und Einstellungen\Lara\Desktop\ComboFix.exe
[2010.10.06 08:39:16 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.10.06 08:39:16 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.10.06 08:39:16 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.10.06 08:39:16 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.10.06 08:39:16 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.10.05 19:30:51 | 000,000,695 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.04 02:16:23 | 000,000,614 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2010.10.02 01:53:58 | 000,001,894 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MSN Installer.lnk
[2010.10.02 01:25:19 | 000,001,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.08.05 06:15:59 | 000,001,080 | ---- | C] () -- C:\Dokumente und Einstellungen\Lara\NORInfo.ini
[2010.08.05 06:15:59 | 000,000,084 | ---- | C] () -- C:\Dokumente und Einstellungen\Lara\USBInfo.ini
[2010.08.05 06:15:12 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Lara\Anwendungsdaten\$_hpcst$.hpc
[2010.07.19 19:09:47 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\$_hpcst$.hpc
[2010.05.13 12:01:01 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2010.03.14 19:49:32 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\vsmon1.dll
[2010.02.20 18:55:42 | 000,000,291 | ---- | C] () -- C:\WINDOWS\SIERRA.INI
[2010.02.03 16:13:54 | 000,275,968 | ---- | C] () -- C:\WINDOWS\System32\BH_DATA120VC8.dll
[2010.01.25 21:08:45 | 000,000,480 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI
[2010.01.25 21:08:15 | 000,000,188 | ---- | C] () -- C:\WINDOWS\System32\lxbacoin.ini
[2010.01.25 21:08:13 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\LXBALCNP.DLL
[2010.01.24 11:17:14 | 001,572,864 | -H-- | C] () -- C:\Dokumente und Einstellungen\Lara\NTUSER.DAT
[2010.01.24 11:17:14 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\Lara\ntuser.dat.LOG
[2010.01.24 11:17:14 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Lara\ntuser.ini
[2010.01.22 17:23:56 | 000,262,144 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT
[2010.01.22 17:23:56 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT.LOG
[2009.12.28 23:53:50 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009.11.17 18:13:12 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll
[2009.11.17 18:11:26 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2009.11.17 18:09:36 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2009.11.17 18:09:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2009.10.24 23:15:06 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\FKStampPainter20.dll
[2007.07.25 22:00:00 | 000,000,484 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2003.02.20 10:59:52 | 000,221,184 | ---- | C] () -- C:\WINDOWS\System32\TidyATL.dll
[2001.12.12 14:41:36 | 000,041,472 | ---- | C] () -- C:\WINDOWS\System32\W32btstp.dll
[2001.12.12 14:41:36 | 000,025,088 | ---- | C] () -- C:\WINDOWS\System32\W32btxlt.dll
[1999.12.15 20:16:06 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\Lpng.dll
[1997.06.14 10:56:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 731272 bytes -> C:\WINDOWS\Temp:temp
< End of report >
--- --- ---
OTL Logfile:
Code:
OTL Extras logfile created on: 06.10.2010 12:35:52 - Run 1
OTL by OldTimer - Version 3.2.1.2    Folder = C:\Dokumente und Einstellungen\Ich\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 77,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465,75 Gb Total Space | 446,63 Gb Free Space | 95,89% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MARLEEN
Current User Name: Lara
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~3\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\realsched.exe" = C:\WINDOWS\system32\realsched.exe:*:Enabled:DHCP Router -- File not found
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Mozilla Firefox -- (Mozilla Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{171E6C1E-B5FC-11DF-B115-005056C00008}" = Google Earth Plug-in
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 12
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36A9D3F8-3FCF-4FBA-A8AD-3C1CE56C8AF4}" = Philips SA43XX Device Manager
"{414A373B-59DF-4102-94CA-9FE9A74CBDDA}" = Garmin Trip and Waypoint Manager v5
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service
"{5E60FB11-7EE1-4126-A542-7B9CABEC1C0B}" = Lexware financial office 2010
"{62B7C52C-CAB6-48B1-8245-52356C141C92}" = RENESIS® Player Browser Plugins
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync
"{9AF1FB09-1D1A-4DA1-80ED-F156CD297319}" = Lexware Elster
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6E92CAB-9E63-46DC-8ABF-0CAFF7B7CD02}" = eXPert PDF 4
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D91AB4D6-2CA1-4427-91B3-BB31D3C6D4EE}" = SmartStore.biz 5
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Age of Empires 2.0" = Microsoft Age of Empires II
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"CDex" = CDex - Open Source Digital Audio CD Extractor
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"IrfanView" = IrfanView (remove only)
"Lexmark X5100 Series" = Lexmark X5100 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSNINST" = MSN
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"Pharao" = Pharao
"PokerStars.net" = PokerStars.net
"Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.5.0
"Uninstall_is1" = Uninstall 1.0.0.1
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows Mobile Device Handbook" = Windows Mobile-Ressourcen
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 13.06.2010 07:31:52 | Computer Name = MARLEEN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3743, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.06.2010 00:12:49 | Computer Name = MARLEEN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved
.
 
Error - 21.06.2010 00:42:41 | Computer Name = MARLEEN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung divxupdate.exe, Version 1.0.1.10, fehlgeschlagenes
 Modul msvcp80.dll, Version 8.0.50727.4053, Fehleradresse 0x000100b5.
 
Error - 07.07.2010 01:03:25 | Computer Name = MARLEEN | Source = Google Update | ID = 20
Description =
 
Error - 07.07.2010 01:07:58 | Computer Name = MARLEEN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung divxupdate.exe, Version 1.0.1.10, fehlgeschlagenes
 Modul msvcp80.dll, Version 8.0.50727.4053, Fehleradresse 0x000100b5.
 
Error - 08.07.2010 14:48:09 | Computer Name = MARLEEN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung start.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul Flash Asset.x32, Version 0.0.0.0, Fehleradresse 0x0001ca65.
 
Error - 08.07.2010 15:34:22 | Computer Name = MARLEEN | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wmplayer.exe, Version 9.0.0.4503, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x0073006b.
 
Error - 08.07.2010 15:36:35 | Computer Name = MARLEEN | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung wmplayer.exe, Version 9.0.0.4503, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 12.07.2010 11:25:33 | Computer Name = MARLEEN | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 12.07.2010 11:25:33 | Computer Name = MARLEEN | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ OSession Events ]
Error - 02.06.2010 02:05:05 | Computer Name = MARLEEN | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 223
 seconds with 120 seconds of active time.  This session ended with a crash.
 
Error - 02.06.2010 02:07:30 | Computer Name = MARLEEN | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 132
 seconds with 120 seconds of active time.  This session ended with a crash.
 
Error - 04.06.2010 15:24:10 | Computer Name = MARLEEN | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 5604
 seconds with 1200 seconds of active time.  This session ended with a crash.
 
Error - 05.06.2010 17:20:40 | Computer Name = MARLEEN | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 640
 seconds with 60 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 05.10.2010 16:29:09 | Computer Name = MARLEEN | Source = DCOM | ID = 10010
Description = Der Server "{ED081F25-6A77-4C89-B689-C6E15C582EC1}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 05.10.2010 16:30:39 | Computer Name = MARLEEN | Source = DCOM | ID = 10010
Description = Der Server "{ED081F25-6A77-4C89-B689-C6E15C582EC1}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 05.10.2010 16:32:09 | Computer Name = MARLEEN | Source = DCOM | ID = 10010
Description = Der Server "{ED081F25-6A77-4C89-B689-C6E15C582EC1}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 05.10.2010 16:33:39 | Computer Name = MARLEEN | Source = DCOM | ID = 10010
Description = Der Server "{ED081F25-6A77-4C89-B689-C6E15C582EC1}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 05.10.2010 16:35:09 | Computer Name = MARLEEN | Source = DCOM | ID = 10010
Description = Der Server "{ED081F25-6A77-4C89-B689-C6E15C582EC1}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 06.10.2010 06:09:47 | Computer Name = MARLEEN | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 06.10.2010 06:09:47 | Computer Name = MARLEEN | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Lavasoft Ad-Aware Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 5000 Millisekunden
 durchgeführt: Starten Sie den Dienst neu..
 
Error - 06.10.2010 06:09:47 | Computer Name = MARLEEN | Source = Service Control Manager | ID = 7034
Description = Dienst "LexBce Server" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
Error - 06.10.2010 06:09:47 | Computer Name = MARLEEN | Source = Service Control Manager | ID = 7034
Description = Dienst "NMSAccess" wurde unerwartet beendet. Dies ist bereits 1 Mal
 passiert.
 
Error - 06.10.2010 06:09:47 | Computer Name = MARLEEN | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
 
< End of report >
--- --- ---

so ich hoffe alles richtig gemacht zu haben.

und danke bis hierher!

lg stella

Chris4You 06.10.2010 11:54
Hi,

Java unbedingt updaten, total veraltet Download der kostenlosen Java-Software!

Du hast CF auf dem Rechner laufen lassen, wieso und was kam dabei heraus?

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:

:OTL
@Alternate Data Stream - 731272 bytes -> C:\WINDOWS\Temp:temp

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00
"AntiVirusOverride" = dword:0x00

:Commands
[emptytemp]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Sonst ist nicht zu sehen, wir prüfen noch auf TDSS...
TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bek&#228;mpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

Was treibt der Rechner so, alle Seiten wieder aufrufbar?

chris

stella00725 06.10.2010 14:23
Java ist geupdatet.

Seit ich gemerkt hab das hier was nicht stimmt hab ich angefangen bestimmte Software wie malwarebytes, oldtimer, hijack und auch cf runterzuladen, damit ich dann entsprechend handeln kann. da viele seiten für mich gesperrt waren, war es gar nicht soooo doll einfach.

CF lief von selber sofort beim anklicken.

Combofix Logfile:
Code:
ComboFix 10-10-05.01 - Lara 06.10.2010  9:22.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2533 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Lara\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((  Dateien erstellt von 2010-09-06 bis 2010-10-06  ))))))))))))))))))))))))))))))
.

2010-10-05 21:24 . 2010-10-05 21:24        --------        d-----w-        c:\dokumente und einstellungen\Lara\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-10-05 20:42 . 2010-10-05 20:42        --------        d-----w-        c:\dokumente und einstellungen\Lara\Anwendungsdaten\Avira
2010-10-05 20:08 . 2010-10-05 20:08        --------        d-----w-        c:\dokumente und einstellungen\Lara\Anwendungsdaten\Malwarebytes
2010-10-05 17:30 . 2010-10-05 17:30        --------        d-----w-        c:\dokumente und einstellungen\Ich\Anwendungsdaten\Malwarebytes
2010-10-05 17:30 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-05 17:30 . 2010-10-05 17:30        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-10-05 17:30 . 2010-10-05 17:30        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-05 17:30 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-10-05 09:48 . 2010-10-05 11:01        --------        d-----w-        c:\dokumente und einstellungen\Ich\Anwendungsdaten\FileZilla
2010-10-05 09:48 . 2010-10-05 09:48        --------        d-----w-        c:\programme\FileZilla FTP Client
2010-10-01 23:09 . 2010-10-01 23:16        144696        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-10-01 23:08 . 2010-10-01 23:08        --------        d-----w-        c:\dokumente und einstellungen\Ich\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-10-01 23:08 . 2010-10-01 23:08        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-10-01 23:08 . 2010-10-01 23:08        --------        d-----w-        c:\programme\DVDVideoSoft
2010-09-21 18:37 . 2010-09-21 18:37        932288        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\12665\AdobeARM.exe
2010-09-21 18:37 . 2010-09-21 18:37        70584        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\12665\AdobeExtractFiles.dll
2010-09-21 18:37 . 2010-09-21 18:37        338856        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\12665\ReaderUpdater.exe
2010-09-21 18:37 . 2010-09-21 18:37        338856        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.3\ARM\12665\AcrobatUpdater.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-02 02:57 . 2010-02-09 18:30        --------        d-----w-        c:\programme\PokerStars.NET
2010-10-02 00:01 . 2008-04-14 12:00        79910        ----a-w-        c:\windows\system32\perfc007.dat
2010-10-02 00:01 . 2008-04-14 12:00        448470        ----a-w-        c:\windows\system32\perfh007.dat
2010-10-01 23:27 . 2010-01-23 21:42        --------        d-----w-        c:\programme\CCleaner
2010-10-01 23:18 . 2010-06-12 09:52        57344        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-10-01 23:17 . 2010-04-06 17:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-10-01 23:17 . 2010-01-24 01:53        --------        d-----w-        c:\programme\DivX
2010-09-21 15:05 . 2010-02-09 19:53        --------        d-----w-        c:\programme\Google
2010-09-15 19:03 . 2010-02-17 17:17        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-08-17 13:17 . 2008-04-14 12:00        58880        ----a-w-        c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2008-04-14 12:00        590848        ----a-w-        c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 06:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll
2010-07-18 16:41 . 2010-07-18 16:41        503808        ----a-w-        c:\dokumente und einstellungen\Lara\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-49e60f28-n\msvcp71.dll
2010-07-18 16:41 . 2010-07-18 16:41        499712        ----a-w-        c:\dokumente und einstellungen\Lara\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-49e60f28-n\jmc.dll
2010-07-18 16:41 . 2010-07-18 16:41        348160        ----a-w-        c:\dokumente und einstellungen\Lara\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-49e60f28-n\msvcr71.dll
2010-07-18 16:36 . 2010-07-18 16:36        36008        ----a-w-        c:\dokumente und einstellungen\Lara\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-08-12 1657376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-17 86016]
"RTHDCPL"="RTHDCPL.EXE" [2009-09-11 18717696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-24 148888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"Lexmark X5100 Series"="c:\programme\Lexmark X5100 Series\lxbabmgr.exe" [2003-03-04 86099]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2008-11-03 339240]
"vspdfprsrv.exe"="c:\programme\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 998912]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"PhilipsDM"="c:\programme\Philips\Philips Device Manager\Bin\DeviceManager.exe" [2007-09-17 884736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [24.01.2010 01:33 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.04.2010 08:22 135336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [02.12.2009 15:19 1181328]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [07.10.2009 12:29 41376]
S0 bqaotfsv;bqaotfsv;c:\windows\system32\Drivers\bqaotfsv.sys --> c:\windows\system32\Drivers\bqaotfsv.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [27.02.2010 10:27 135664]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [28.12.2009 23:48 1684736]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\36.tmp --> c:\windows\system32\36.tmp [?]
.
Inhalt des "geplante Tasks" Ordners

2010-10-06 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 17:34]

2010-10-06 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 17:34]

2010-10-06 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 17:34]

2010-10-06 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 17:34]

2010-10-06 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-12-02 17:34]

2010-10-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-27 08:27]

2010-10-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-27 08:27]

2010-10-02 c:\windows\Tasks\Install_NSS.job
- c:\programme\DivX\Symantec\scstubinstaller.exe [2010-03-08 18:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.Csl-Computer.com
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
FF - ProfilePath - c:\dokumente und einstellungen\Lara\Anwendungsdaten\Mozilla\Firefox\Profiles\mydk8f4i.default\
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\36.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(912)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll

- - - - - - - > 'explorer.exe'(160)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-10-06  09:25:40
ComboFix-quarantined-files.txt  2010-10-06 07:25

Vor Suchlauf: 12 Verzeichnis(se), 477.620.776.960 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 479.506.993.152 Bytes frei

- - End Of File - - 6E693325E8EB2F9C4A1D0DF8D0E25415
--- --- ---

CF quarantined files:

2010-10-06 07:23:06 . 2010-10-06 07:23:06 6,389 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-10-06 06:38:00 . 2010-10-06 07:15:49 204 ----a-w- C:\Qoobox\Quarantine\catchme.log

so.

den otl check hab ich auch gemacht. finde leider die datei nicht mehr:stirn:

%systemroot%\_OTL funzt nicht.

TDSS

2010/10/06 15:21:58.0984 TDSS rootkit removing tool 2.4.4.0 Oct 4 2010 09:06:59
2010/10/06 15:21:58.0984 ================================================================================
2010/10/06 15:21:58.0984 SystemInfo:
2010/10/06 15:21:58.0984
2010/10/06 15:21:58.0984 OS Version: 5.1.2600 ServicePack: 3.0
2010/10/06 15:21:58.0984 Product type: Workstation
2010/10/06 15:21:58.0984 ComputerName: MARLEEN
2010/10/06 15:21:58.0984 UserName: Lara
2010/10/06 15:21:58.0984 Windows directory: C:\WINDOWS
2010/10/06 15:21:58.0984 System windows directory: C:\WINDOWS
2010/10/06 15:21:58.0984 Processor architecture: Intel x86
2010/10/06 15:21:58.0984 Number of processors: 2
2010/10/06 15:21:58.0984 Page size: 0x1000
2010/10/06 15:21:58.0984 Boot type: Normal boot
2010/10/06 15:21:58.0984 ================================================================================
2010/10/06 15:21:59.0062 Initialize success


Kann man jetzt schon benennen wwas der übeltäter direkt war?

Die gesperrten seiten laden sich als ob nie was war.

ich danke erstmal für den tollen support!!

stella00725 06.10.2010 14:25
Übrigens meine systemwiederherstellung ist nicht mehr grau hinterlegt!!!!!!!! JUCHUH *freu*

Chris4You 06.10.2010 18:53
Hi,

das TDSS-Killer log ist nicht komplet, bitte noch mal posten...
Im CF-Log taucht ein Treiber auf der nicht koscher ist...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
    und suche folgende Datei/Dateien:
Code:
c:\windows\system32\Drivers\bqaotfsv.sys
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

chris

stella00725 07.10.2010 07:11
Hallo Chris,

hier diesmal der komplette log:

2010/10/06 14:48:09.0921 TDSS rootkit removing tool 2.4.4.0 Oct 4 2010 09:06:59
2010/10/06 14:48:09.0921 ================================================================================
2010/10/06 14:48:09.0921 SystemInfo:
2010/10/06 14:48:09.0921
2010/10/06 14:48:09.0921 OS Version: 5.1.2600 ServicePack: 3.0
2010/10/06 14:48:09.0921 Product type: Workstation
2010/10/06 14:48:09.0921 ComputerName: MARLEEN
2010/10/06 14:48:09.0921 UserName: Lara
2010/10/06 14:48:09.0921 Windows directory: C:\WINDOWS
2010/10/06 14:48:09.0921 System windows directory: C:\WINDOWS
2010/10/06 14:48:09.0921 Processor architecture: Intel x86
2010/10/06 14:48:09.0921 Number of processors: 2
2010/10/06 14:48:09.0921 Page size: 0x1000
2010/10/06 14:48:09.0921 Boot type: Normal boot
2010/10/06 14:48:09.0921 ================================================================================
2010/10/06 14:48:10.0062 Initialize success
2010/10/06 14:48:22.0609 ================================================================================
2010/10/06 14:48:22.0609 Scan started
2010/10/06 14:48:22.0609 Mode: Manual;
2010/10/06 14:48:22.0609 ================================================================================
2010/10/06 14:48:23.0015 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2010/10/06 14:48:23.0046 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2010/10/06 14:48:23.0078 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2010/10/06 14:48:23.0140 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2010/10/06 14:48:23.0234 Ambfilt (f6af59d6eee5e1c304f7f73706ad11d8) C:\WINDOWS\system32\drivers\Ambfilt.sys
2010/10/06 14:48:23.0390 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2010/10/06 14:48:23.0406 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2010/10/06 14:48:23.0421 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2010/10/06 14:48:23.0453 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2010/10/06 14:48:23.0515 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2010/10/06 14:48:23.0531 avgntflt (a88d29d928ad2b830e87b53e3f9bc182) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2010/10/06 14:48:23.0562 avipbb (524b9e78e396c00968c5629ed5bbfab0) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2010/10/06 14:48:23.0593 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2010/10/06 14:48:23.0703 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2010/10/06 14:48:23.0734 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2010/10/06 14:48:23.0734 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2010/10/06 14:48:23.0765 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2010/10/06 14:48:23.0875 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2010/10/06 14:48:23.0906 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2010/10/06 14:48:23.0937 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2010/10/06 14:48:23.0968 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2010/10/06 14:48:24.0015 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2010/10/06 14:48:24.0062 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2010/10/06 14:48:24.0078 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2010/10/06 14:48:24.0109 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2010/10/06 14:48:24.0125 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2010/10/06 14:48:24.0156 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2010/10/06 14:48:24.0171 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2010/10/06 14:48:24.0203 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2010/10/06 14:48:24.0234 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2010/10/06 14:48:24.0250 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2010/10/06 14:48:24.0281 grmnusb (d956358054e99e6ffac69cd87e893a89) C:\WINDOWS\system32\drivers\grmnusb.sys
2010/10/06 14:48:24.0312 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2010/10/06 14:48:24.0343 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2010/10/06 14:48:24.0390 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2010/10/06 14:48:24.0421 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2010/10/06 14:48:24.0453 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2010/10/06 14:48:24.0796 IntcAzAudAddService (8c130f62bebe3fbac8a0a1e42843d9a2) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2010/10/06 14:48:24.0843 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2010/10/06 14:48:24.0875 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2010/10/06 14:48:24.0890 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2010/10/06 14:48:24.0906 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2010/10/06 14:48:24.0921 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2010/10/06 14:48:24.0937 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2010/10/06 14:48:24.0968 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2010/10/06 14:48:25.0000 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2010/10/06 14:48:25.0046 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2010/10/06 14:48:25.0078 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2010/10/06 14:48:25.0109 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2010/10/06 14:48:25.0140 Lbd (713cd5267abfb86fe90a72e384e82a38) C:\WINDOWS\system32\DRIVERS\Lbd.sys
2010/10/06 14:48:25.0203 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2010/10/06 14:48:25.0218 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2010/10/06 14:48:25.0265 Monfilt (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\Monfilt.sys
2010/10/06 14:48:25.0343 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2010/10/06 14:48:25.0359 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2010/10/06 14:48:25.0375 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2010/10/06 14:48:25.0406 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2010/10/06 14:48:25.0437 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2010/10/06 14:48:25.0468 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2010/10/06 14:48:25.0484 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2010/10/06 14:48:25.0500 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2010/10/06 14:48:25.0515 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2010/10/06 14:48:25.0546 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2010/10/06 14:48:25.0546 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2010/10/06 14:48:25.0578 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2010/10/06 14:48:25.0609 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2010/10/06 14:48:25.0640 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2010/10/06 14:48:25.0656 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2010/10/06 14:48:25.0671 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2010/10/06 14:48:25.0687 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2010/10/06 14:48:25.0718 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2010/10/06 14:48:25.0765 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2010/10/06 14:48:25.0796 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2010/10/06 14:48:25.0828 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2010/10/06 14:48:25.0968 nv (4f15e1e56703f59c0ac00022162e5308) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2010/10/06 14:48:26.0156 NVENETFD (7d275ecda4628318912f6c945d5cf963) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
2010/10/06 14:48:26.0171 NVHDA (1807e02a9ca6fd62ea97241d09e9b8ae) C:\WINDOWS\system32\drivers\nvhda32.sys
2010/10/06 14:48:26.0187 nvnetbus (b64aacefad2be5bff5353fe681253c67) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
2010/10/06 14:48:26.0203 nvsmu (2a085aec3ab2b1211611d2a7b9e22456) C:\WINDOWS\system32\DRIVERS\nvsmu.sys
2010/10/06 14:48:26.0234 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2010/10/06 14:48:26.0234 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2010/10/06 14:48:26.0281 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2010/10/06 14:48:26.0312 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2010/10/06 14:48:26.0328 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2010/10/06 14:48:26.0359 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2010/10/06 14:48:26.0390 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2010/10/06 14:48:26.0406 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2010/10/06 14:48:26.0515 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2010/10/06 14:48:26.0531 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
2010/10/06 14:48:26.0562 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2010/10/06 14:48:26.0593 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2010/10/06 14:48:26.0609 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2010/10/06 14:48:26.0703 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2010/10/06 14:48:26.0718 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2010/10/06 14:48:26.0734 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2010/10/06 14:48:26.0765 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2010/10/06 14:48:26.0781 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2010/10/06 14:48:26.0812 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2010/10/06 14:48:26.0843 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2010/10/06 14:48:26.0890 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2010/10/06 14:48:26.0906 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/10/06 14:48:26.0968 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2010/10/06 14:48:26.0984 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2010/10/06 14:48:27.0000 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2010/10/06 14:48:27.0031 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2010/10/06 14:48:27.0093 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2010/10/06 14:48:27.0125 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2010/10/06 14:48:27.0156 Srv (da852e3e0bf1cea75d756f9866241e57) C:\WINDOWS\system32\DRIVERS\srv.sys
2010/10/06 14:48:27.0187 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2010/10/06 14:48:27.0218 StarOpen (f92254b0bcfcd10caac7bccc7cb7f467) C:\WINDOWS\system32\drivers\StarOpen.sys
2010/10/06 14:48:27.0250 StMp3Rec (833ac40f6e7be17951d6d9a956829547) C:\WINDOWS\system32\Drivers\StMp3Rec.sys
2010/10/06 14:48:27.0281 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2010/10/06 14:48:27.0312 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2010/10/06 14:48:27.0375 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2010/10/06 14:48:27.0406 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2010/10/06 14:48:27.0437 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2010/10/06 14:48:27.0453 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2010/10/06 14:48:27.0484 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2010/10/06 14:48:27.0515 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2010/10/06 14:48:27.0562 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2010/10/06 14:48:27.0609 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2010/10/06 14:48:27.0625 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2010/10/06 14:48:27.0640 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2010/10/06 14:48:27.0656 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2010/10/06 14:48:27.0687 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2010/10/06 14:48:27.0718 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2010/10/06 14:48:27.0734 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2010/10/06 14:48:27.0765 usb_rndisx (b6cc50279d6cd28e090a5d33244adc9a) C:\WINDOWS\system32\DRIVERS\usb8023x.sys
2010/10/06 14:48:27.0796 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2010/10/06 14:48:27.0828 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2010/10/06 14:48:27.0875 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2010/10/06 14:48:27.0890 wceusbsh (46a247f6617526afe38b6f12f5512120) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
2010/10/06 14:48:27.0937 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2010/10/06 14:48:28.0000 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
2010/10/06 14:48:28.0031 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2010/10/06 14:48:28.0062 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2010/10/06 14:48:28.0093 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2010/10/06 14:48:28.0203 ================================================================================
2010/10/06 14:48:28.0203 Scan finished
2010/10/06 14:48:28.0203 ================================================================================
2010/10/06 14:49:04.0968 Deinitialize success

C:\Windows\system32\Drivers\bqaotfsv.sys

existiert bei mir nicht. hab die versteckten Dateien anzeigen lassen.

LG Stella

Chris4You 07.10.2010 07:19
Hi,

TDSSKiller Log ist ok...

Das ist der der Treiber:
S0 bqaotfsv;bqaotfsv;c:\windows\system32\Drivers\bqaotfsv.sys --> c:\windows\system32\Drivers\bqaotfsv.sys [?]

Er ist gestoppt, steht aber wohl noch als zu starten drin, ist aber nicht so schlimm...

Der Rechner macht keine Mucken mehr?

Dann wäre wir soweit durch...

chris

stella00725 07.10.2010 07:31
ich glaube dieses bqoatfsv, hat auch kaspersky ----> damals immer angemeckert und gefunden, gelöscht und jedes mal beim neustart hat sich das wieder mit geladen bis sophos den rootkit gefunden hatte damals und gelöscht hat.

wenn ich den benutzernamen wechsle und mich als admin oder sonstwas anmelden möchte dauert das mindestens eine minute... früher war das nicht.

welche programme der runtergeladenen sollte ich behalten und welche sollte ich dann jetzt löschen oder besser deinstallieren?

reicht in zukunft die firewall von windows und antivir?

liebe grüße und ein großes :dankeschoen::dankeschoen::dankeschoen:

Chris4You 07.10.2010 08:17
Hi,

TDSS-Killer und CF können gelöscht werden, OTL auch.
MAM würde ich behalten und einmal die Woche ein Update machen und dann scannen lassen.
Zusätzlich zu Avira und der Windows-Firewall noch Threadfire-free Herunterladen Kostenlos).
Zum Surfen Firefox mit den PlugIns "WOT" (http://filepony.de/?q=WOT) und
"NoScript" (http://filepony.de/download-noscript//)) verwenden,
einen "Guest"-Account (keine Adminrechte! XP: (Schritt 6: Eingeschränkte Rechte für Viren - Schritt für Schritt: Windows XP absichern - CHIP Online,
Vista/Win7: Windows-7-Anleitung: Benutzerkonten anlegen und verwalten - NETZWELT) anlegen.

Aufräumen:
Backups von Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups)
C:\avenger\backup.zip - loeschen und Papierkorb leeren (Avenger)
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren
Backupfiles von HJ liegen im HJ-Ordner


chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19