Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   autorun-wurm lpl.exe auf cf-card gefunden, rechner ebenfalls infiziert (https://www.trojaner-board.de/97025-autorun-wurm-lpl-exe-cf-card-gefunden-rechner-ebenfalls-infiziert.html)

Trojanie 31.03.2011 20:33
autorun-wurm lpl.exe auf cf-card gefunden, rechner ebenfalls infiziert
 
Moin,

habe letzte woche ein paar fotos auf meiner arbeit (bänker) ins system einspeisen wollen. Der gute EDV-Mann hat die CF-Karte reingesteckt und festgestellt, dass ein autorun-wurm gefunden wurde. Da sein System berufsbedingt so ziemlich das sicherste ist was man sich vorstellen kann, hat die cf-card keinen schaden angerichtet. Gott sei Dank! Ich habe mich nur gewundert, warum dann antivir nichts findet. Es wurde zwar mal gemeldet, dass eine autorun anwendung gestoppt wurde aber ich kann jetzt bei den berichten dazu nichts mehr finden. Antivir wird automatisch aktualisiert, müsste also auf dem neuesten stand gewesen sein. Aktuell findet antivir auch keine viren!

Nun habe ich mich auf die suche gemacht, wie ich das teil von meinem desktop pc loswerden kann, in dem die CF-Card als letztes gesteckt hat. Die Odyssee begann. Erst mal gegoogelt und dann auf Chip.de einer anleitung gefolgt, die sagte, dass ich eine ubuntu live cd (von einem nicht infizierten PC) brennen soll. Da ich nicht wusste, ob mein laptop auch infiziert ist, wollte ich malwarebytes drüberlaufen lassen. dies wurde allerdings nicht besonders gut bewertet bei chip (und wie ich sehe auch nicht auf der downloadseite, die hier angegeben ist). Daher habe ich Spywareterminator runtergeladen und drüberlaufen lassen. Kein Fund. Also Ubuntu runtergeladen und live-cd gebrannt. Danach funzte der lappy nicht mehr so wie vorher - spyware terminator hat wohl irgendwie systemeinstellungen geändert und nach einem neustart kam ich mit dem lappy nicht mehr ins netz??? Fehlermeldung bzgl. Verbindung zum Windows-Dienst kam auch und irgendwas mit anmeldung benutzerkonten. Er brauchte etwas länger als normal (ca. 1,5 Min.) um hochzufahren.

Jetzt hatte ich die ubuntu cd und sollte die Speichermedien alle von auffälligen dateien säubern (laut chip beschreibung stand da ich soll sie in quarantäne stellen und dann posten - wollte sie aber loswerden). Hab die CF-Card genommen und dort einen recycle-ordner und die datei lpl.exe gefunden. kurz nach lpl.exe gegoogelt und hinweise auf autorun wurm gefunden. nach der löschung der datei hat ein anderer edv-kollege die cfcard gescant und keine würmer mehr gefunden (den edv-chef wollte ich nicht nochmal nerven).

dann ging es an meine festplatte, die eigentlich ebenfalls infiziert sein müsste. hier habe ich aber keine derartige datei gefunden (hab nur im rootverzeichnis und im 1. unterverzeichnis gesucht), nur eine recycle.bin (oder so ähnlich). Die habe ich gelöscht.

Da ich mir jetzt nicht mehr sicher war wonach ich suchen sollte habe ich weiter gegoogelt und bin auf dieses super forum gestoßen. Das ist nicht selbstverständlich, dass sich leute umsonst die arbeit machen um anderen zu helfen. Hier wurde auch schon die lpl.exe behandelt (daher hab ich die seite gefunden) aber ich habe den ganzen thread durchgelesen und im eingangsthread steht, man soll nicht blind drauflos arbeiten und einen anderen thread befolgen, da man nicht von anderen auf sich schließen soll :)

hab dann mbam und otl runtergeladen, folgende logs:

MBAM:
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 6228

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

31.03.2011 20:46:48
mbam-log-2011-03-31 (20-46-48).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147463
Laufzeit: 3 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList (Malware.Trace) -> Value: RList -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Tonie\anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.


OTL: ExtrasOTL Logfile:
Code:
OTL Extras logfile created on: 31.03.2011 21:29:16 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Tonie\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 80,00% Memory free
4,00 Gb Paging File | 4,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 62,50 Gb Total Space | 37,87 Gb Free Space | 60,60% Space Free | Partition Type: NTFS
Drive D: | 97,65 Gb Total Space | 15,71 Gb Free Space | 16,09% Space Free | Partition Type: NTFS
Drive E: | 3,99 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: TONIE | User Name: Tonie | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"135:TCP" = 135:TCP:*:Enabled:TCP Port 135
"5000:TCP" = 5000:TCP:*:Enabled:TCP Port 5000
"5001:TCP" = 5001:TCP:*:Enabled:TCP Port 5001
"5002:TCP" = 5002:TCP:*:Enabled:TCP Port 5002
"5003:TCP" = 5003:TCP:*:Enabled:TCP Port 5003
"5004:TCP" = 5004:TCP:*:Enabled:TCP Port 5004
"5005:TCP" = 5005:TCP:*:Enabled:TCP Port 5005
"5006:TCP" = 5006:TCP:*:Enabled:TCP Port 5006
"5007:TCP" = 5007:TCP:*:Enabled:TCP Port 5007
"5008:TCP" = 5008:TCP:*:Enabled:TCP Port 5008
"5009:TCP" = 5009:TCP:*:Enabled:TCP Port 5009
"5010:TCP" = 5010:TCP:*:Enabled:TCP Port 5010
"5011:TCP" = 5011:TCP:*:Enabled:TCP Port 5011
"5012:TCP" = 5012:TCP:*:Enabled:TCP Port 5012
"5013:TCP" = 5013:TCP:*:Enabled:TCP Port 5013
"5014:TCP" = 5014:TCP:*:Enabled:TCP Port 5014
"5015:TCP" = 5015:TCP:*:Enabled:TCP Port 5015
"5016:TCP" = 5016:TCP:*:Enabled:TCP Port 5016
"5017:TCP" = 5017:TCP:*:Enabled:TCP Port 5017
"5018:TCP" = 5018:TCP:*:Enabled:TCP Port 5018
"5019:TCP" = 5019:TCP:*:Enabled:TCP Port 5019
"5020:TCP" = 5020:TCP:*:Enabled:TCP Port 5020
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Java\jre1.5.0_11\bin\javaw.exe" = C:\Programme\Java\jre1.5.0_11\bin\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary -- (Sun Microsystems, Inc.)
"C:\Programme\Stalker\bin\XR_3DA.exe" = C:\Programme\Stalker\bin\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)
"C:\Programme\Stalker\bin\dedicated\XR_3DA.exe" = C:\Programme\Stalker\bin\dedicated\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard)
"C:\Programme\Electronic Arts\BattleForge\Bootstrapper.exe" = C:\Programme\Electronic Arts\BattleForge\Bootstrapper.exe:*:Enabled:BattleForge™ Launcher -- (EA Phenomic)
"C:\Programme\Electronic Arts\BattleForge\BattleForge.exe" = C:\Programme\Electronic Arts\BattleForge\BattleForge.exe:*:Enabled:BattleForge™ -- (EA Phenomic)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0332234E-09D1-4B74-A5F3-73E34BA29F5B}" = Nokia Software Updater
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{0CFF0BFE-B750-4ECA-882D-03B8C6A9F26A}" = Nokia Ovi Content Copier
"{0F7C2E47-089E-4d23-B9F7-39BE00100776}" = Toolbox
"{11B83AD3-7A46-4C2E-A568-9505981D4C6F}" = HP Update
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{18669FF9-C8FE-407a-9F70-E674896B1DB4}" = GPBaseService
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java(TM) 6 Update 21
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{2A0A6470-FD0F-4F45-9B11-85F3167DB943}" = Nokia Flashing Cable Driver
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{2FFE93F0-BB72-4E52-8761-354D1AAA9387}" = Sony Ericsson PC Suite 3.108.00
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{31B5B620-CA8A-4F99-A64E-7DDB3D1BBB69}_is1" = appleJuice Client
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36FDBE6E-6684-462b-AE98-9A39A1B200CC}" = HPProductAssistant
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{49FC50FC-F965-40D9-89B4-CBFF80941031}" = Windows Movie Maker 2.0
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4F923F90-46D1-4492-9CC6-13FBBA00E7EC}" = C4400
"{5109C064-813E-4e87-B0DE-C8AF7B5BC02B}" = SmartWebPrintingOC
"{52A69E11-7CEB-4a7d-9607-68BA4F39A89B}" = DeviceDiscovery
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{534804B0-3563-434B-962A-BAF132B85F1F}" = O&O UnErase
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5ACE69F0-A3E8-44eb-88C1-0A841E700180}" = TrayApp
"{5BA43E5C-66FD-48D2-AB40-B807D457EF83}" = ElsterFormular 2007/2008
"{5E7C721D-B008-4269-A1C4-2CE7E9757983}" = BoneTown
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{679EC478-3FF9-4987-B2FF-C2C2B27532A2}" = DocProc
"{687FEF8A-8597-40b4-832C-297EA3F35817}" = BufferChm
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6B407945-AE16-4A2A-BAAF-497FE62EDED3}" = PS_AIO_03_C4400_Software_Min
"{6B437F94-056F-4791-AF2C-0D10E2706AF0}" = PanoStandAlone
"{76BC2442-0002-47FA-9617-43BAD82BEF4C}" = Bonjour
"{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}" = Avanquest update
"{76EA55BD-535F-4AB4-AD80-A8CA331F4E6F}" = Windows Messenger 5.1
"{7B63B2922B174135AFC0E1377DD81EC2}" =
"{80533B67-C407-485D-8B5D-63BB8ED9D878}" = Scan
"{82617FC8-CC7F-4232-A6F0-2F035661F3AD}" = FuchsFit-Club Setup
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{8A85DEAD-7C1F-4368-881C-72AC74CB2E91}" = UnloadSupport
"{8DC910CD-8EE3-4ffc-A4EB-9B02701059C4}" = Battlefield Heroes
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{916EB415-12F8-475F-8268-7869BC643ED3}" = Nokia Ovi System Utilities
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{954B7F64-D1D4-476F-8919-99585D0A6ABF}" = PS_AIO_03_C4400_Software
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C7C8898-DC29-4E8B-9E77-55A77C3250F6}" = PC Connectivity Solution
"{A0B9F8DF-C949-45ed-9808-7DC5C0C19C81}" = Status
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A5AB9D5E-52E2-440e-A3ED-9512E253C81A}" = SolutionCenter
"{A801B192-6BDC-4C38-9260-6FD951908834}" = TMPGEnc Authoring Works 4 Testversion
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{B5C3B892-0849-476C-9F46-B12F84819D57}" = Apple Mobile Device Support
"{BF962E1B-D17A-4713-A100-6531A132D83D}_is1" = Foto-Mosaik-Edda 5.5.9
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{C580908C-B3BA-4C19-BD60-16F02F272201}" = BattleForge™
"{C9CE9393-B568-428D-AD5B-55452B9748DB}" = PS_AIO_03_C4400_ProductContext
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{CBDE9C7D-CF52-4558-B23E-B66359CB586A}" = Nokia Connectivity Cable Driver
"{CCB9B81A-167F-4832-B305-D2A0430840B3}" = WebReg
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{D353C323-5E95-4873-9825-9FEC1C8A3794}" = Nokia Download!
"{D6E23AC8-07DA-4EC2-84BB-4BCA9F6A1323}" = Nokia Ovi Suite
"{D99A8E3A-AE5A-4692-8B19-6F16D454E240}" = Destination Component
"{DEA314C4-0929-4250-BC92-98E4C105F28D}" = NVIDIA PhysX
"{E0F252A6-DE85-4E93-A93B-DFC3537B3965}" = WG111v2 Configuration Utility
"{E3723A04-A894-4036-A78E-282E18F43C0A}_is1" = Tinypic 3.16
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer
"{F42CD69D-E393-47c8-B2CD-B139C4ADA9A8}" = Copy
"{F7B72805-2F58-4C04-AE9E-E7AD6A6EF62E}" = C4400_Help
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FC762E57-B09D-41AE-AA5F-3DAC3CBE453E}" = Nokia Ovi Application Installer
"{FF1F4E8E-A833-4c4b-A14A-45D5B841B5D8}" = HP Photosmart C4400 All-In-One Driver Software 10.0 Rel .3
"3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F" = Windows-Treiberpaket - Nokia pccsmcfd (10/12/2007 6.85.4.0)
"7-Zip" = 7-Zip 4.65
"Acoustica Audio Converter Pro" = Acoustica Audio Converter Pro
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"AFPL Ghostscript 8.54" = AFPL Ghostscript 8.54
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"Any Video Converter_is1" = Any Video Converter 3.0.5
"AutoBINGOOO_is1" = AutoBINGOOO 2.2
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.4
"AVS4YOU Video Converter 6_is1" = AVS Video Converter 6
"BearShare" = BearShare
"bwin" = bwin Poker (remove only)
"CAL" = Canon Camera Access Library
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"CCleaner" = CCleaner (remove only)
"CSCLIB" = Canon Camera Support Core Library
"DivX Setup.divx.com" = DivX-Setup
"ElsterFormular 11.2.0.4074" = ElsterFormular
"Hardcopy(C__Programme_Hardcopy)" = Hardcopy (C:\Programme\Hardcopy)
"HP Imaging Device Functions" = HP Imaging Device Functions 10.0
"HP Smart Web Printing" = HP Smart Web Printing
"HP Solution Center & Imaging Support Tools" = HP Solution Center 10.0
"HPOCR" = OCR Software by I.R.I.S. 10.0
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ImgBurn" = ImgBurn
"InstallShield_{3BD633E0-4BF8-4499-9149-88F0767D449C}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
"InstallShield_{8503C901-85D7-4262-88D2-8D8B2A7B08B8}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch
"InstallShield_{AFAE2B15-89A0-4215-A030-F7B5B478886B}" = Call of Duty(R) - World at War(TM) 1.1 Patch
"JPEG Lossless Rotator_is1" = JPEG Lossless Rotator 6.3
"LIDL Fotoservice_is1" = LIDL Fotoservice
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Mozilla Firefox (3.6.15)" = Mozilla Firefox (3.6.15)
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Nokia Ovi Application Installer" = Nokia Ovi Application Installer 6.85.3008
"Nokia Ovi Content Copier" = Nokia Ovi Content Copier 6.85.3008
"Nokia Ovi System Utilities" = Nokia Ovi System Utilities 6.85.3009
"NSS" = NSS (remove only)
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"OpenAL" = OpenAL
"PunkBusterSvc" = PunkBuster Services
"Qtpfsgui_is1" = Qtpfsgui 1.9.2
"RealPlayer 6.0" = RealPlayer
"Sea3D_is1" = Sea3D 1.2.0a
"SopCast" = SopCast 3.2.4
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4
"SUPER ©" = SUPER © Version 2010.bld.37 (Jan 2, 2010)
"VideoReDo-Plus_is1" = VideoReDo/Plus Version 2.5.3.501
"VLC media player" = VLC media player 1.0.1
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.8
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01005" = Microsoft User-Mode Driver Framework Feature Pack 1.5
"XP Codec Pack" = XP Codec Pack
"xp-AntiSpy" = xp-AntiSpy 3.96-7
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 17.06.2010 15:30:32 | Computer Name = TONIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
 
Error - 29.06.2010 15:18:51 | Computer Name = TONIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
 
[ System Events ]
Error - 20.03.2011 12:37:45 | Computer Name = TONIE | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.
 
Error - 21.03.2011 17:05:33 | Computer Name = TONIE | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.
 
Error - 21.03.2011 17:09:22 | Computer Name = TONIE | Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.
 
Error - 23.03.2011 02:05:04 | Computer Name = TONIE | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.
 
Error - 24.03.2011 15:49:30 | Computer Name = TONIE | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.
 
Error - 25.03.2011 02:20:44 | Computer Name = TONIE | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.
 
Error - 26.03.2011 08:27:51 | Computer Name = TONIE | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.
 
Error - 27.03.2011 06:06:51 | Computer Name = TONIE | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.
 
Error - 28.03.2011 15:51:10 | Computer Name = TONIE | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.
 
Error - 31.03.2011 14:39:19 | Computer Name = TONIE | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.
 
 
< End of report >
--- --- ---

OTL OTL.txt:OTL Logfile:
Code:
OTL logfile created on: 31.03.2011 21:29:16 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Tonie\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 80,00% Memory free
4,00 Gb Paging File | 4,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 62,50 Gb Total Space | 37,87 Gb Free Space | 60,60% Space Free | Partition Type: NTFS
Drive D: | 97,65 Gb Total Space | 15,71 Gb Free Space | 16,09% Space Free | Partition Type: NTFS
Drive E: | 3,99 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: TONIE | User Name: Tonie | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Tonie\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\WINDOWS\system32\bgsvcgen.exe (SOURCENEXT)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
PRC - C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Tonie\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- File not found
SRV - (bgsvcgen) -- C:\WINDOWS\System32\bgsvcgen.exe (SOURCENEXT)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (ServiceLayer) -- C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe (Nokia.)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (CCALib8) -- C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (cdrbsdrv) -- C:\WINDOWS\System32\drivers\cdrbsdrv.sys (B.H.A Corporation)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\alcxwdm.sys (Realtek Semiconductor Corp.)
DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)
DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)
DRV - (upperdev) -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (nmwcdnsu) -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys (Nokia)
DRV - (nmwcdnsuc) -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys (Nokia)
DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.)
DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (s116unic) Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM) -- C:\WINDOWS\system32\drivers\s116unic.sys (MCCI Corporation)
DRV - (s116obex) -- C:\WINDOWS\system32\drivers\s116obex.sys (MCCI Corporation)
DRV - (s116nd5) Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS) -- C:\WINDOWS\system32\drivers\s116nd5.sys (MCCI Corporation)
DRV - (s116mgmt) Sony Ericsson Device 116 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\s116mgmt.sys (MCCI Corporation)
DRV - (s116mdm) -- C:\WINDOWS\system32\drivers\s116mdm.sys (MCCI Corporation)
DRV - (s116mdfl) -- C:\WINDOWS\system32\drivers\s116mdfl.sys (MCCI Corporation)
DRV - (s116bus) Sony Ericsson Device 116 driver (WDM) -- C:\WINDOWS\system32\drivers\s116bus.sys (MCCI Corporation)
DRV - (RTLWUSB) -- C:\WINDOWS\system32\drivers\wg111v2.sys (NETGEAR Inc.)
DRV - (k750obex) -- C:\WINDOWS\system32\drivers\k750obex.sys (MCCI)
DRV - (k750mgmt) -- C:\WINDOWS\system32\drivers\k750mgmt.sys (MCCI)
DRV - (k750mdm) -- C:\WINDOWS\system32\drivers\k750mdm.sys (MCCI)
DRV - (k750mdfl) -- C:\WINDOWS\system32\drivers\k750mdfl.sys (MCCI)
DRV - (k750bus) Sony Ericsson 750 driver (WDM) -- C:\WINDOWS\system32\drivers\k750bus.sys (MCCI)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (SjyPkt) -- C:\WINDOWS\system32\drivers\SjyPkt.sys (Windows (R) 2000 DDK provider)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant =
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.vr-bildung.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: battlefieldheroespatcher@ea.com:5.0.31.0
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q="
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.03.10 21:24:16 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.10 21:24:16 | 000,000,000 | ---D | M]
 
[2008.09.06 21:31:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Mozilla\Extensions
[2011.03.31 20:48:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\extensions
[2011.03.05 21:14:50 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\extensions\battlefieldheroespatcher@ea.com
[2011.03.27 12:16:08 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\searchplugins\icqplugin-1.xml
[2008.02.08 12:51:32 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\searchplugins\icqplugin-2.xml
[2008.03.27 20:22:04 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\searchplugins\icqplugin-3.xml
[2008.04.19 03:01:35 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\searchplugins\icqplugin-4.xml
[2008.07.04 22:08:44 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\searchplugins\icqplugin-5.xml
[2008.07.18 08:45:58 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\searchplugins\icqplugin-6.xml
[2007.07.25 23:04:52 | 000,000,951 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\searchplugins\icqplugin.xml
[2011.03.31 20:48:14 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2007.05.11 21:49:50 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.09.05 10:00:31 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.09.05 10:00:22 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.09.05 10:00:21 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2007.12.19 14:57:38 | 000,310,272 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
[2011.03.10 21:24:13 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.03.10 21:24:13 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.03.10 21:24:13 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.03.10 21:24:13 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.03.10 21:24:13 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.07.18 13:14:49 | 000,317,711 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1    www.007guard.com
O1 - Hosts: 127.0.0.1    007guard.com
O1 - Hosts: 127.0.0.1    008i.com
O1 - Hosts: 127.0.0.1    www.008k.com
O1 - Hosts: 127.0.0.1    008k.com
O1 - Hosts: 127.0.0.1    www.00hq.com
O1 - Hosts: 127.0.0.1    00hq.com
O1 - Hosts: 127.0.0.1    010402.com
O1 - Hosts: 127.0.0.1    www.032439.com
O1 - Hosts: 127.0.0.1    032439.com
O1 - Hosts: 127.0.0.1    www.0scan.com
O1 - Hosts: 127.0.0.1    0scan.com
O1 - Hosts: 127.0.0.1    www.1000gratisproben.com
O1 - Hosts: 127.0.0.1    1000gratisproben.com
O1 - Hosts: 127.0.0.1    www.1001namen.com
O1 - Hosts: 127.0.0.1    1001namen.com
O1 - Hosts: 127.0.0.1    100888290cs.com
O1 - Hosts: 127.0.0.1    www.100888290cs.com
O1 - Hosts: 127.0.0.1    100sexlinks.com
O1 - Hosts: 127.0.0.1    www.100sexlinks.com
O1 - Hosts: 127.0.0.1    10sek.com
O1 - Hosts: 127.0.0.1    www.10sek.com
O1 - Hosts: 127.0.0.1    www.1-2005-search.com
O1 - Hosts: 127.0.0.1    1-2005-search.com
O1 - Hosts: 10896 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data]
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Java Plug-in 1.5.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Tonie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Tonie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.05.11 19:45:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{66147104-a318-11df-a58b-000fb5be3508}\Shell - "" = AutoRun
O33 - MountPoints2\{66147104-a318-11df-a58b-000fb5be3508}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{66147104-a318-11df-a58b-000fb5be3508}\Shell\AutoRun\command - "" = G:\DPFMate.exe
O33 - MountPoints2\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\Shell - "" = AutoRun
O33 - MountPoints2\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\Shell\AutoRun\command - "" = I:\pushinst.exe
O33 - MountPoints2\{b250d722-c963-11de-a400-00508dcbd66a}\Shell - "" = AutoRun
O33 - MountPoints2\{b250d722-c963-11de-a400-00508dcbd66a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b250d722-c963-11de-a400-00508dcbd66a}\Shell\AutoRun\command - "" = G:\DPFMate.exe
O33 - MountPoints2\{b250d723-c963-11de-a400-00508dcbd66a}\Shell\AutoRun\command - "" = G:\installer.exe
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.03.31 20:40:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Malwarebytes
[2011.03.31 20:40:29 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.03.31 20:40:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.03.31 20:40:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.03.31 20:40:25 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.03.31 20:40:25 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.03.31 20:39:35 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Tonie\Desktop\OTL.exe
[2011.03.31 20:39:17 | 007,622,112 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Tonie\Desktop\mbam-setup.exe
[2011.03.19 15:06:38 | 000,000,000 | ---D | C] -- C:\Programme\Tinypic
[2011.03.19 15:06:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Tinypic
[2011.03.08 22:04:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tonie\Desktop\renate
[2011.03.05 21:39:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA Games
[2011.03.05 21:15:18 | 000,000,000 | ---D | C] -- C:\Programme\EA Games
[2004.11.24 21:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.03.31 21:30:02 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\edntl.sys
[2011.03.31 20:40:30 | 000,000,765 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.31 20:39:38 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Tonie\Desktop\OTL.exe
[2011.03.31 20:39:30 | 007,622,112 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Tonie\Desktop\mbam-setup.exe
[2011.03.31 20:37:51 | 000,276,202 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2011.03.31 20:37:47 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.03.31 20:37:46 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.03.28 21:53:05 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.03.23 21:46:51 | 000,122,880 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.03.20 19:54:33 | 000,014,699 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\.recently-used.xbel
[2011.03.19 15:06:39 | 000,000,647 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\Desktop\TinyPic.lnk
[2011.03.05 21:40:18 | 000,138,056 | ---- | M] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2011.03.05 21:40:18 | 000,138,056 | ---- | M] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\PnkBstrK.sys
[2011.03.05 21:40:01 | 000,189,248 | ---- | M] () -- C:\WINDOWS\System32\PnkBstrB.ex0
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.03.31 21:30:02 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\edntl.sys
[2011.03.31 20:40:30 | 000,000,765 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.20 19:54:33 | 000,014,699 | ---- | C] () -- C:\Dokumente und Einstellungen\Tonie\.recently-used.xbel
[2011.03.19 15:06:39 | 000,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\Tonie\Desktop\TinyPic.lnk
[2010.09.20 08:05:58 | 000,000,238 | ---- | C] () -- C:\WINDOWS\S3D.ini
[2010.09.20 08:05:27 | 000,005,481 | ---- | C] () -- C:\WINDOWS\unins000.dat
[2010.09.12 20:58:47 | 000,000,038 | ---- | C] () -- C:\WINDOWS\AviSplitter.INI
[2010.08.08 17:25:50 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.04.04 20:20:38 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2010.02.16 10:38:56 | 000,038,445 | ---- | C] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\dBase.ADR
[2009.10.02 23:05:35 | 000,179,206 | ---- | C] () -- C:\WINDOWS\hpoins29.dat
[2009.10.02 23:05:35 | 000,000,986 | ---- | C] () -- C:\WINDOWS\hpomdl29.dat
[2009.04.30 22:02:00 | 002,183,470 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2008.12.19 17:15:58 | 004,338,246 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2008.12.17 19:41:18 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2008.12.17 19:22:58 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2008.12.17 19:22:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.12.17 19:17:34 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2008.12.17 18:59:54 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2008.11.17 19:27:06 | 000,138,056 | ---- | C] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\PnkBstrK.sys
[2008.11.17 19:26:28 | 000,682,280 | ---- | C] () -- C:\WINDOWS\System32\pbsvc.exe
[2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.10.30 22:33:22 | 000,201,928 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2008.08.31 09:58:41 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2008.08.24 17:24:47 | 000,000,004 | ---- | C] () -- C:\WINDOWS\wintov10.ini
[2008.08.24 17:24:17 | 000,000,973 | ---- | C] () -- C:\WINDOWS\3dpokerbandit.INI
[2008.07.21 14:26:22 | 001,128,277 | ---- | C] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\mdbu.bin
[2008.04.27 14:22:01 | 000,024,480 | ---- | C] () -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\mdb.bin
[2008.03.27 21:30:21 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2008.01.16 14:43:36 | 000,097,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2007.12.19 19:45:26 | 000,000,311 | ---- | C] () -- C:\WINDOWS\game.ini
[2007.12.01 16:14:03 | 000,075,136 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2007.12.01 16:14:02 | 000,138,056 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2007.12.01 16:13:55 | 000,189,248 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2007.10.30 22:19:07 | 000,034,308 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll
[2007.09.05 13:48:43 | 000,000,098 | ---- | C] () -- C:\WINDOWS\abreg.ini
[2007.08.04 11:41:07 | 000,002,560 | ---- | C] () -- C:\WINDOWS\_MSRSTRT.EXE
[2007.08.01 20:02:28 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat
[2007.07.20 22:17:21 | 000,000,504 | ---- | C] () -- C:\Programme\CCleaner
[2007.05.12 20:55:54 | 000,000,150 | ---- | C] () -- C:\WINDOWS\asfbinapp.INI
[2007.05.12 19:21:07 | 000,000,075 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2007.05.12 18:36:04 | 000,502,784 | ---- | C] () -- C:\WINDOWS\x2.64.exe
[2007.05.12 18:36:04 | 000,399,360 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll
[2007.05.12 18:36:04 | 000,240,128 | ---- | C] () -- C:\WINDOWS\System32\x.264.exe
[2007.05.12 18:36:04 | 000,217,073 | ---- | C] () -- C:\WINDOWS\meta4.exe
[2007.05.12 18:36:04 | 000,066,560 | ---- | C] () -- C:\WINDOWS\MOTA113.exe
[2007.05.12 18:36:04 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2007.05.12 13:57:24 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.05.11 21:51:14 | 000,001,668 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2007.05.11 21:50:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2007.05.11 21:26:02 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.05.11 21:13:25 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2007.05.11 21:12:27 | 000,124,520 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007.05.11 21:10:43 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2007.05.11 21:08:03 | 000,006,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\ALLOW-IO.SYS
[2007.05.11 21:03:16 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.05.11 20:36:11 | 085,981,128 | ---- | C] () -- C:\WINDOWS\XPpostSP2update-070509.exe
[2007.05.11 20:28:31 | 000,122,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Tonie\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.05.11 20:22:49 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2007.05.11 20:18:34 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007.04.13 08:44:00 | 000,929,744 | ---- | C] () -- C:\WINDOWS\System32\nvucode.bin
[2007.04.13 08:44:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.11.02 18:10:16 | 000,080,912 | ---- | C] () -- C:\WINDOWS\System32\sherlock2.exe
[2004.10.03 19:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll
[2004.08.04 01:12:38 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.02 14:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2003.12.31 16:25:23 | 000,061,952 | ---- | C] () -- C:\WINDOWS\System32\ajnetmask.dll
[2003.12.25 23:21:16 | 000,087,040 | ---- | C] () -- C:\WINDOWS\System32\TrayIcon12.dll
[2001.08.23 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.08.23 14:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.18 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.18 14:00:00 | 000,449,248 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.18 14:00:00 | 000,432,992 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.18 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.18 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.18 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.18 14:00:00 | 000,080,468 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.18 14:00:00 | 000,067,696 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.18 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.18 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.18 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.18 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2009.06.07 18:48:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2DBoy
[2008.10.31 22:04:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
[2010.08.28 10:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\carspider
[2009.05.05 08:39:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2010.03.15 16:28:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2008.11.16 14:43:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2009.04.19 11:49:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LIDL Fotoservice
[2008.11.16 14:46:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
[2009.10.07 10:34:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panasonic
[2008.10.30 23:00:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2008.07.21 14:33:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PhotoStitch
[2007.06.23 10:28:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010.04.02 19:11:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.05.09 13:48:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\AnvSoft
[2010.08.28 11:13:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\autobingooo
[2009.11.10 19:45:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\BoneTown
[2007.11.01 21:17:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\BSH
[2008.07.16 22:38:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Canon
[2010.08.28 10:42:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\carspider
[2007.06.24 11:43:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
[2009.05.05 13:53:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\DAEMON Tools Lite
[2010.03.22 23:27:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\elsterformular
[2008.01.26 10:07:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Engelmann Media
[2009.05.05 23:29:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\FOG Downloader
[2011.03.20 19:54:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\gtk-2.0
[2008.08.07 22:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\ICQ Toolbar
[2008.05.03 11:22:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\ImgBurn
[2007.05.12 22:02:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Leadertech
[2008.10.30 22:40:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Nokia
[2008.11.01 00:58:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Nseries
[2009.10.07 10:31:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Panasonic
[2008.10.30 23:00:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\PC Suite
[2010.06.08 21:59:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Pegasys Inc
[2007.07.26 21:40:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\Teleca
[2007.06.23 10:29:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\TuneUp Software
[2007.07.09 22:59:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tonie\Anwendungsdaten\VideoReDoPlus
[2011.02.18 18:15:00 | 000,000,396 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
 
========== Purity Check ==========
 
 
 
< End of report >
--- --- ---


Hoffe mir kann jemand helfen, danke!!!

cosinus 01.04.2011 14:55
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Trojanie 01.04.2011 18:59
Danke für die Rückmeldung! :dankeschoen:

Hab von gestern nur eine logdatei gefunden - vorher hatte ich das programm noch nicht, bin ja malware-neukunde und hab mich früher auf antivir, spybot und xp-antispy verlassen. die malware die gefunden wurde habe ich entfernt und heute morgen nochmal einen vollscan durchlaufen lassen - keine funde. Ich poste aber hier nochmal einen aktuellen quickscan von gerade eben:

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6239

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.04.2011 20:19:28
mbam-log-2011-04-01 (20-19-28).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147981
Laufzeit: 1 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
scheint nichts mehr da zu sein - oder nochmal otl.exe posten? Was mach ich mit der festplatte, gibt es da ein tool zum prüfen - hab bei einem vorherigen beitrag mal was von FlashDisinfector gehört - seh gerade da warst du auch am werke:

http://www.trojaner-board.de/94132-a...ter-exe-3.html

ich lass dich jetzt erst mal zu worte kommen bevor ich noch mehr schreibe - wahrscheinlich ist der viruswurmtrojanerwasauchimmer noch da! :taenzer:

cosinus 01.04.2011 19:32
Zitat:
Art des Suchlaufs: Quick-Scan
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Trojanie 02.04.2011 05:44
danke

hier der vollscan

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6239

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.04.2011 21:59:31
mbam-log-2011-04-01 (21-59-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 292304
Laufzeit: 1 Stunde(n), 12 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
hab auch beide festplatten und nen usbstick dran angeschlossen. keine älteren logfiles vorhanden!

cosinus 02.04.2011 13:52
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.05.11 19:45:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{66147104-a318-11df-a58b-000fb5be3508}\Shell - "" = AutoRun
O33 - MountPoints2\{66147104-a318-11df-a58b-000fb5be3508}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{66147104-a318-11df-a58b-000fb5be3508}\Shell\AutoRun\command - "" = G:\DPFMate.exe
O33 - MountPoints2\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\Shell - "" = AutoRun
O33 - MountPoints2\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\Shell\AutoRun\command - "" = I:\pushinst.exe
O33 - MountPoints2\{b250d722-c963-11de-a400-00508dcbd66a}\Shell - "" = AutoRun
O33 - MountPoints2\{b250d722-c963-11de-a400-00508dcbd66a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b250d722-c963-11de-a400-00508dcbd66a}\Shell\AutoRun\command - "" = G:\DPFMate.exe
O33 - MountPoints2\{b250d723-c963-11de-a400-00508dcbd66a}\Shell\AutoRun\command - "" = G:\installer.exe
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Trojanie 02.04.2011 18:51
:dankeschoen:

Hier das Log vom Fix ;)

Code:
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{66147104-a318-11df-a58b-000fb5be3508}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{66147104-a318-11df-a58b-000fb5be3508}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{66147104-a318-11df-a58b-000fb5be3508}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{66147104-a318-11df-a58b-000fb5be3508}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{66147104-a318-11df-a58b-000fb5be3508}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{66147104-a318-11df-a58b-000fb5be3508}\ not found.
File G:\DPFMate.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6cb7165c-cfef-11dc-a35d-00508dcbd66a}\ not found.
File I:\pushinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b250d722-c963-11de-a400-00508dcbd66a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b250d722-c963-11de-a400-00508dcbd66a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b250d722-c963-11de-a400-00508dcbd66a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b250d722-c963-11de-a400-00508dcbd66a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b250d722-c963-11de-a400-00508dcbd66a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b250d722-c963-11de-a400-00508dcbd66a}\ not found.
File G:\DPFMate.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b250d723-c963-11de-a400-00508dcbd66a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b250d723-c963-11de-a400-00508dcbd66a}\ not found.
File G:\installer.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 308252 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Tonie
->Temp folder emptied: 263659878 bytes
->Temporary Internet Files folder emptied: 653382550 bytes
->Java cache emptied: 5026242 bytes
->FireFox cache emptied: 97524630 bytes
->Flash cache emptied: 47474 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 77588031 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1.049,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 04022011_193926

Files\Folders moved on Reboot...
C:\WINDOWS\temp\Perflib_Perfdata_c04.dat moved successfully.

Registry entries deleted on Reboot...
Hatte den Virenscanner aus, aber vergessen, dass gerade ein Microsoft Update lief ... hoffe das war nicht schlimm (außer dass das Update mittendrin abgebrochen wurde wegen dem Neustart nach dem Fix).

Haben Sie schon eine Vermutung, warum der Laptop nicht mehr ins Internet will - hatte ich ja auch gepostet oder soll ich da besser einen neuen thread aufmachen, ich vermute ja mal, dass das irgendwas mit dem SpywareTerminatorProgramm zu tun hatte...

cosinus 03.04.2011 13:49
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Trojanie 03.04.2011 20:49
hier das CoFi-Log:

Code:
ComboFix 11-04-03.01 - Tonie 03.04.2011  20:25:58.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2615 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Tonie\Desktop\CoFi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Thumbs.db
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_WMPNetworkSvc
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-03-03 bis 2011-04-03  ))))))))))))))))))))))))))))))
.
.
2011-04-02 17:39 . 2011-04-02 17:39        --------        d-----w-        C:\_OTL
2011-04-02 06:03 . 2011-04-02 06:03        --------        d-sh--w-        c:\dokumente und einstellungen\Tonie\IETldCache
2011-04-02 05:02 . 2010-10-18 11:10        7680        -c----w-        c:\windows\system32\dllcache\iecompat.dll
2011-04-02 05:02 . 2010-12-20 23:52        12800        -c----w-        c:\windows\system32\dllcache\xpshims.dll
2011-04-02 05:02 . 2010-12-20 23:52        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll
2011-04-02 05:02 . 2010-12-20 23:52        247808        -c----w-        c:\windows\system32\dllcache\ieproxy.dll
2011-04-02 05:00 . 2011-04-02 05:02        --------        dc-h--w-        c:\windows\ie8
2011-04-01 18:16 . 2010-09-18 06:52        974848        -c----w-        c:\windows\system32\dllcache\mfc42.dll
2011-04-01 18:16 . 2010-09-18 06:52        953856        -c----w-        c:\windows\system32\dllcache\mfc40u.dll
2011-04-01 18:15 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys
2011-04-01 18:15 . 2010-08-23 16:11        617472        -c----w-        c:\windows\system32\dllcache\comctl32.dll
2011-04-01 18:15 . 2010-06-14 14:31        744448        -c----w-        c:\windows\system32\dllcache\helpsvc.exe
2011-04-01 18:14 . 2009-11-21 15:54        471552        -c----w-        c:\windows\system32\dllcache\aclayers.dll
2011-04-01 18:12 . 2008-05-01 14:34        331776        -c----w-        c:\windows\system32\dllcache\msadce.dll
2011-04-01 18:12 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe
2011-04-01 18:08 . 2010-10-11 14:59        45568        -c----w-        c:\windows\system32\dllcache\wab.exe
2011-03-31 18:40 . 2011-03-31 18:40        --------        d-----w-        c:\dokumente und einstellungen\Tonie\Anwendungsdaten\Malwarebytes
2011-03-31 18:40 . 2011-03-31 18:40        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-31 18:40 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-31 18:40 . 2011-04-01 18:16        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-03-31 18:40 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-03-19 13:06 . 2011-03-19 13:06        --------        d-----w-        c:\programme\Tinypic
2011-03-05 19:15 . 2011-03-05 19:15        --------        d-----w-        c:\programme\EA Games
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-05 19:40 . 2008-11-17 17:27        138056        ----a-w-        c:\dokumente und einstellungen\Tonie\Anwendungsdaten\PnkBstrK.sys
2011-03-05 19:40 . 2007-12-01 14:14        138056        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2011-03-05 19:40 . 2007-12-01 14:13        189248        ----a-w-        c:\windows\system32\PnkBstrB.exe
2011-03-05 19:40 . 2007-12-01 14:13        189248        ----a-w-        c:\windows\system32\PnkBstrB.ex0
2011-03-05 19:39 . 2007-12-01 14:14        75136        ----a-w-        c:\windows\system32\PnkBstrA.exe
2011-02-19 09:03 . 2004-08-03 21:14        361600        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2011-02-09 13:53 . 2004-08-03 22:57        270848        ----a-w-        c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-03 22:57        186880        ----a-w-        c:\windows\system32\encdec.dll
2011-02-02 07:58 . 2007-05-11 18:17        2067456        ----a-w-        c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2007-05-11 18:17        677888        ----a-w-        c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-03 22:57        440832        ----a-w-        c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-03 22:54        290048        ----a-w-        c:\windows\system32\atmfd.dll
2006-05-03 10:06        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 11:47        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 13:30        216064        --sh--r-        c:\windows\system32\nbDX.dll
.
.
------- Sigcheck -------
.
[-] 2011-02-19 . CBEEBEB899E31EF52B962CB31FC8CA5C . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2011-02-19 . 68F06FE0021B01E670AF37B8C5964FDF . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2011-02-19 . CBEEBEB899E31EF52B962CB31FC8CA5C . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2008-07-13 . 68F06FE0021B01E670AF37B8C5964FDF . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[-] 2007-05-12 . DE891AD282E856ACFD40990094A63B6F . 359808 . . [5.1.2600.2892] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[7] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$\tcpip.sys
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-03-16 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-03-16 110696]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WG111v2 Smart Wizard Wireless Setting.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WG111v2 Smart Wizard Wireless Setting.lnk
backup=c:\windows\pss\WG111v2 Smart Wizard Wireless Setting.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Tonie^Startmenü^Programme^Autostart^Hardcopy.LNK]
path=c:\dokumente und einstellungen\Tonie\Startmenü\Programme\Autostart\Hardcopy.LNK
backup=c:\windows\pss\Hardcopy.LNKStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16        39792        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50        1144104        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-14 19:17        49152        ----a-w-        c:\programme\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 13:40        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-05-13 14:12        26192168        ----a-r-        c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2007-11-20 14:29        360448        ------w-        c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 13:31        2144088        --sha-r-        c:\programme\Spybot - Search & Destroy\TeaTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44        248552        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2007-05-12 17:20        180269        ----a-w-        c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre1.5.0_11\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Electronic Arts\\BattleForge\\Bootstrapper.exe"=
"c:\\Programme\\Electronic Arts\\BattleForge\\BattleForge.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11.05.2007 22:41 721904]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.05.2009 21:48 108289]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [19.12.2008 18:37 66048]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [19.12.2008 18:37 167808]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [16.01.2008 14:43 265088]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [30.10.2008 22:56 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [30.10.2008 22:56 8320]
S3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [19.12.2008 18:37 13532]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-03 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-04-02 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.vr-bildung.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Battlefield Heroes Updater: battlefieldheroespatcher@ea.com - %profile%\extensions\battlefieldheroespatcher@ea.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-nwiz - nwiz.exe
MSConfigStartUp-Adobe Photo Downloader - c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
MSConfigStartUp-DAEMON Tools - c:\programme\DAEMON Tools\daemon.exe
MSConfigStartUp-EzPrint - c:\programme\Lexmark 7100 Series\ezprint.exe
MSConfigStartUp-FreePDF Assistant - c:\programme\FreePDF_XP\fpassist.exe
MSConfigStartUp-Google Desktop Search - c:\programme\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe
MSConfigStartUp-lxbxmon - c:\programme\Lexmark 7100 Series\lxbxmon.exe
MSConfigStartUp-PAS - c:\programme\CarSpider\carspider.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\programme\DivX\DivXCodecUninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-03 20:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1957994488-682003330-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:58,fd,6c,3c,9b,79,88,91,ed,ac,5c,3c,48,d5,44,a9,8a,58,02,ef,53,16,5f,
  cf,86,eb,69,55,26,18,b0,ef,a1,03,ab,e8,a9,1f,ef,b9,2f,45,68,00,de,7f,65,f6,\
"??"=hex:29,94,bd,b1,7a,60,58,25,8e,12,bb,d8,29,6c,6b,c5
.
[HKEY_USERS\S-1-5-21-1957994488-682003330-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:76,24,d9,8d,29,c4,1f,9d,93,cc,6d,d6,cc,c5,69,3d,e3,82,7c,8d,88,
  13,a7,ea,e1,40,91,cc,04,8d,17,73,b1,4a,1c,c3,a4,a1,f2,a1,e3,fd,67,4b,a8,f3,\
"rkeysecu"=hex:b9,02,cc,6d,bc,ab,fb,a6,02,44,2d,55,63,15,1d,9d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3256)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\windows\system32\bgsvcgen.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\SOUNDMAN.EXE
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-03  20:34:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-04-03 18:34
.
Vor Suchlauf: 17 Verzeichnis(se), 38.549.385.216 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 38.458.142.720 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT
.
- - End Of File - - E23F6ECB56FAA274627DC8CFF9B47FEB

cosinus 04.04.2011 10:08
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


Code:
FCopy::
c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys | c:\windows\system32\dllcache\tcpip.sys

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5000:TCP"=-
"5001:TCP"=-
"5002:TCP"=-
"5003:TCP"=-
"5004:TCP"=-
"5005:TCP"=-
"5006:TCP"=-
"5007:TCP"=-
"5008:TCP"=-
"5009:TCP"=-
"5010:TCP"=-
"5011:TCP"=-
"5012:TCP"=-
"5013:TCP"=-
"5014:TCP"=-
"5015:TCP"=-
"5016:TCP"=-
"5017:TCP"=-
"5018:TCP"=-
"5019:TCP"=-
"5020:TCP"=-
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Trojanie 04.04.2011 19:09
hier der Log

Code:
ComboFix 11-04-03.03 - Tonie 04.04.2011  20:02:21.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2651 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Tonie\Desktop\CoFi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Tonie\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Thumbs.db
.
.
--------------- FCopy ---------------
.
c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys --> c:\windows\system32\dllcache\tcpip.sys
.
(((((((((((((((((((((((  Dateien erstellt von 2011-03-04 bis 2011-04-04  ))))))))))))))))))))))))))))))
.
.
2011-04-03 20:20 . 2011-04-03 20:22        --------        d-----w-        c:\programme\MP3Gain
2011-04-02 17:39 . 2011-04-02 17:39        --------        d-----w-        C:\_OTL
2011-04-02 06:03 . 2011-04-02 06:03        --------        d-sh--w-        c:\dokumente und einstellungen\Tonie\IETldCache
2011-04-02 05:02 . 2010-10-18 11:10        7680        -c----w-        c:\windows\system32\dllcache\iecompat.dll
2011-04-02 05:02 . 2010-12-20 23:52        12800        -c----w-        c:\windows\system32\dllcache\xpshims.dll
2011-04-02 05:02 . 2010-12-20 23:52        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll
2011-04-02 05:02 . 2010-12-20 23:52        247808        -c----w-        c:\windows\system32\dllcache\ieproxy.dll
2011-04-02 05:00 . 2011-04-02 05:02        --------        dc-h--w-        c:\windows\ie8
2011-04-01 18:16 . 2010-09-18 06:52        974848        -c----w-        c:\windows\system32\dllcache\mfc42.dll
2011-04-01 18:16 . 2010-09-18 06:52        953856        -c----w-        c:\windows\system32\dllcache\mfc40u.dll
2011-04-01 18:15 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys
2011-04-01 18:15 . 2010-08-23 16:11        617472        -c----w-        c:\windows\system32\dllcache\comctl32.dll
2011-04-01 18:15 . 2010-06-14 14:31        744448        -c----w-        c:\windows\system32\dllcache\helpsvc.exe
2011-04-01 18:14 . 2009-11-21 15:54        471552        -c----w-        c:\windows\system32\dllcache\aclayers.dll
2011-04-01 18:12 . 2008-05-01 14:34        331776        -c----w-        c:\windows\system32\dllcache\msadce.dll
2011-04-01 18:12 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe
2011-04-01 18:08 . 2010-10-11 14:59        45568        -c----w-        c:\windows\system32\dllcache\wab.exe
2011-03-31 18:40 . 2011-03-31 18:40        --------        d-----w-        c:\dokumente und einstellungen\Tonie\Anwendungsdaten\Malwarebytes
2011-03-31 18:40 . 2011-03-31 18:40        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-31 18:40 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-31 18:40 . 2011-04-01 18:16        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-03-31 18:40 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-03-19 13:06 . 2011-03-19 13:06        --------        d-----w-        c:\programme\Tinypic
2011-03-05 19:15 . 2011-03-05 19:15        --------        d-----w-        c:\programme\EA Games
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-05 19:40 . 2008-11-17 17:27        138056        ----a-w-        c:\dokumente und einstellungen\Tonie\Anwendungsdaten\PnkBstrK.sys
2011-03-05 19:40 . 2007-12-01 14:14        138056        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2011-03-05 19:40 . 2007-12-01 14:13        189248        ----a-w-        c:\windows\system32\PnkBstrB.exe
2011-03-05 19:40 . 2007-12-01 14:13        189248        ----a-w-        c:\windows\system32\PnkBstrB.ex0
2011-03-05 19:39 . 2007-12-01 14:14        75136        ----a-w-        c:\windows\system32\PnkBstrA.exe
2011-02-19 09:03 . 2004-08-03 21:14        361600        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2011-02-09 13:53 . 2004-08-03 22:57        270848        ----a-w-        c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-03 22:57        186880        ----a-w-        c:\windows\system32\encdec.dll
2011-02-02 07:58 . 2007-05-11 18:17        2067456        ----a-w-        c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2007-05-11 18:17        677888        ----a-w-        c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-03 22:57        440832        ----a-w-        c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-03 22:54        290048        ----a-w-        c:\windows\system32\atmfd.dll
2006-05-03 10:06        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 11:47        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 13:30        216064        --sh--r-        c:\windows\system32\nbDX.dll
.
.
------- Sigcheck -------
.
[-] 2011-02-19 . 68F06FE0021B01E670AF37B8C5964FDF . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2011-02-19 . CBEEBEB899E31EF52B962CB31FC8CA5C . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2008-07-13 . 68F06FE0021B01E670AF37B8C5964FDF . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2007-05-12 . DE891AD282E856ACFD40990094A63B6F . 359808 . . [5.1.2600.2892] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[7] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$\tcpip.sys
.
(((((((((((((((((((((((((((((  SnapShot@2011-04-03_18.30.49  )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-04-04 17:32 . 2011-04-04 17:32        16384              c:\windows\Temp\Perflib_Perfdata_104.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-03-16 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-03-16 110696]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WG111v2 Smart Wizard Wireless Setting.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WG111v2 Smart Wizard Wireless Setting.lnk
backup=c:\windows\pss\WG111v2 Smart Wizard Wireless Setting.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Tonie^Startmenü^Programme^Autostart^Hardcopy.LNK]
path=c:\dokumente und einstellungen\Tonie\Startmenü\Programme\Autostart\Hardcopy.LNK
backup=c:\windows\pss\Hardcopy.LNKStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16        39792        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50        1144104        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-14 19:17        49152        ----a-w-        c:\programme\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 13:40        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-05-13 14:12        26192168        ----a-r-        c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2007-11-20 14:29        360448        ------w-        c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 13:31        2144088        --sha-r-        c:\programme\Spybot - Search & Destroy\TeaTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44        248552        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2007-05-12 17:20        180269        ----a-w-        c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre1.5.0_11\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Electronic Arts\\BattleForge\\Bootstrapper.exe"=
"c:\\Programme\\Electronic Arts\\BattleForge\\BattleForge.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11.05.2007 22:41 721904]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.05.2009 21:48 108289]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [19.12.2008 18:37 66048]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [19.12.2008 18:37 167808]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [16.01.2008 14:43 265088]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [30.10.2008 22:56 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [30.10.2008 22:56 8320]
S3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [19.12.2008 18:37 13532]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-04 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-04-02 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.vr-bildung.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Battlefield Heroes Updater: battlefieldheroespatcher@ea.com - %profile%\extensions\battlefieldheroespatcher@ea.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-04 20:06
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1957994488-682003330-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:58,fd,6c,3c,9b,79,88,91,ed,ac,5c,3c,48,d5,44,a9,8a,58,02,ef,53,16,5f,
  cf,86,eb,69,55,26,18,b0,ef,a1,03,ab,e8,a9,1f,ef,b9,2f,45,68,00,de,7f,65,f6,\
"??"=hex:29,94,bd,b1,7a,60,58,25,8e,12,bb,d8,29,6c,6b,c5
.
[HKEY_USERS\S-1-5-21-1957994488-682003330-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:76,24,d9,8d,29,c4,1f,9d,93,cc,6d,d6,cc,c5,69,3d,e3,82,7c,8d,88,
  13,a7,ea,e1,40,91,cc,04,8d,17,73,b1,4a,1c,c3,a4,a1,f2,a1,e3,fd,67,4b,a8,f3,\
"rkeysecu"=hex:b9,02,cc,6d,bc,ab,fb,a6,02,44,2d,55,63,15,1d,9d
.
Zeit der Fertigstellung: 2011-04-04  20:08:20
ComboFix-quarantined-files.txt  2011-04-04 18:08
ComboFix2.txt  2011-04-03 18:34
.
Vor Suchlauf: 19 Verzeichnis(se), 38.433.468.416 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 38.422.417.408 Bytes frei
.
- - End Of File - - 22A6516FAF89FE094C683D33897870F8

cosinus 04.04.2011 20:19
Wir müssen nochmal ran. Speicher den Inhalt folgender Codebox in die CFScript.txt, sodass nur das da drin steht:

Code:
FCopy::
c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys | c:\windows\system32\drivers\tcpip.sys

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= -
Rest wie oben, also die CFScript wieder auf die cofi.exe ziehen.

Trojanie 04.04.2011 22:31
hier das neue cofi log:
Code:
ComboFix 11-04-04.01 - Tonie 04.04.2011  23:18:12.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2597 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Tonie\Desktop\CoFi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Tonie\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
--------------- FCopy ---------------
.
c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys --> c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((  Dateien erstellt von 2011-03-04 bis 2011-04-04  ))))))))))))))))))))))))))))))
.
.
2011-04-03 20:20 . 2011-04-03 20:22        --------        d-----w-        c:\programme\MP3Gain
2011-04-02 17:39 . 2011-04-02 17:39        --------        d-----w-        C:\_OTL
2011-04-02 06:03 . 2011-04-02 06:03        --------        d-sh--w-        c:\dokumente und einstellungen\Tonie\IETldCache
2011-04-02 05:02 . 2010-10-18 11:10        7680        -c----w-        c:\windows\system32\dllcache\iecompat.dll
2011-04-02 05:02 . 2010-12-20 23:52        12800        -c----w-        c:\windows\system32\dllcache\xpshims.dll
2011-04-02 05:02 . 2010-12-20 23:52        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll
2011-04-02 05:02 . 2010-12-20 23:52        247808        -c----w-        c:\windows\system32\dllcache\ieproxy.dll
2011-04-02 05:00 . 2011-04-02 05:02        --------        dc-h--w-        c:\windows\ie8
2011-04-01 18:16 . 2010-09-18 06:52        974848        -c----w-        c:\windows\system32\dllcache\mfc42.dll
2011-04-01 18:16 . 2010-09-18 06:52        953856        -c----w-        c:\windows\system32\dllcache\mfc40u.dll
2011-04-01 18:15 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys
2011-04-01 18:15 . 2010-08-23 16:11        617472        -c----w-        c:\windows\system32\dllcache\comctl32.dll
2011-04-01 18:15 . 2010-06-14 14:31        744448        -c----w-        c:\windows\system32\dllcache\helpsvc.exe
2011-04-01 18:14 . 2009-11-21 15:54        471552        -c----w-        c:\windows\system32\dllcache\aclayers.dll
2011-04-01 18:12 . 2008-05-01 14:34        331776        -c----w-        c:\windows\system32\dllcache\msadce.dll
2011-04-01 18:12 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe
2011-04-01 18:08 . 2010-10-11 14:59        45568        -c----w-        c:\windows\system32\dllcache\wab.exe
2011-03-31 18:40 . 2011-03-31 18:40        --------        d-----w-        c:\dokumente und einstellungen\Tonie\Anwendungsdaten\Malwarebytes
2011-03-31 18:40 . 2011-03-31 18:40        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-31 18:40 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-31 18:40 . 2011-04-01 18:16        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-03-31 18:40 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-03-19 13:06 . 2011-03-19 13:06        --------        d-----w-        c:\programme\Tinypic
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-05 19:40 . 2008-11-17 17:27        138056        ----a-w-        c:\dokumente und einstellungen\Tonie\Anwendungsdaten\PnkBstrK.sys
2011-03-05 19:40 . 2007-12-01 14:14        138056        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2011-03-05 19:40 . 2007-12-01 14:13        189248        ----a-w-        c:\windows\system32\PnkBstrB.exe
2011-03-05 19:40 . 2007-12-01 14:13        189248        ----a-w-        c:\windows\system32\PnkBstrB.ex0
2011-03-05 19:39 . 2007-12-01 14:14        75136        ----a-w-        c:\windows\system32\PnkBstrA.exe
2011-02-09 13:53 . 2004-08-03 22:57        270848        ----a-w-        c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-03 22:57        186880        ----a-w-        c:\windows\system32\encdec.dll
2011-02-02 07:58 . 2007-05-11 18:17        2067456        ----a-w-        c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2007-05-11 18:17        677888        ----a-w-        c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-03 22:57        440832        ----a-w-        c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-03 22:54        290048        ----a-w-        c:\windows\system32\atmfd.dll
2006-05-03 10:06        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 11:47        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 13:30        216064        --sh--r-        c:\windows\system32\nbDX.dll
.
.
(((((((((((((((((((((((((((((  SnapShot@2011-04-03_18.30.49  )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-04-04 21:09 . 2011-04-04 21:09        16384              c:\windows\Temp\Perflib_Perfdata_114.dat
+ 2004-08-03 21:14 . 2008-06-20 11:59        361600              c:\windows\system32\dllcache\tcpip.sys
- 2004-08-03 21:14 . 2011-02-19 09:03        361600              c:\windows\system32\dllcache\tcpip.sys
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-03-16 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-03-16 110696]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WG111v2 Smart Wizard Wireless Setting.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WG111v2 Smart Wizard Wireless Setting.lnk
backup=c:\windows\pss\WG111v2 Smart Wizard Wireless Setting.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Tonie^Startmenü^Programme^Autostart^Hardcopy.LNK]
path=c:\dokumente und einstellungen\Tonie\Startmenü\Programme\Autostart\Hardcopy.LNK
backup=c:\windows\pss\Hardcopy.LNKStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16        39792        ----a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50        1144104        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-14 19:17        49152        ----a-w-        c:\programme\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 13:40        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-05-13 14:12        26192168        ----a-r-        c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2007-11-20 14:29        360448        ------w-        c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 13:31        2144088        --sha-r-        c:\programme\Spybot - Search & Destroy\TeaTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44        248552        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2007-05-12 17:20        180269        ----a-w-        c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre1.5.0_11\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Electronic Arts\\BattleForge\\Bootstrapper.exe"=
"c:\\Programme\\Electronic Arts\\BattleForge\\BattleForge.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [11.05.2007 22:41 721904]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.05.2009 21:48 108289]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [19.12.2008 18:37 66048]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [19.12.2008 18:37 167808]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [16.01.2008 14:43 265088]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [30.10.2008 22:56 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [30.10.2008 22:56 8320]
S3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [19.12.2008 18:37 13532]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-04 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-04-02 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.vr-bildung.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Tonie\Anwendungsdaten\Mozilla\Firefox\Profiles\34btl8w4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Battlefield Heroes Updater: battlefieldheroespatcher@ea.com - %profile%\extensions\battlefieldheroespatcher@ea.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-04 23:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1957994488-682003330-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:58,fd,6c,3c,9b,79,88,91,ed,ac,5c,3c,48,d5,44,a9,8a,58,02,ef,53,16,5f,
  cf,86,eb,69,55,26,18,b0,ef,a1,03,ab,e8,a9,1f,ef,b9,2f,45,68,00,de,7f,65,f6,\
"??"=hex:29,94,bd,b1,7a,60,58,25,8e,12,bb,d8,29,6c,6b,c5
.
[HKEY_USERS\S-1-5-21-1957994488-682003330-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:76,24,d9,8d,29,c4,1f,9d,93,cc,6d,d6,cc,c5,69,3d,e3,82,7c,8d,88,
  13,a7,ea,e1,40,91,cc,04,8d,17,73,b1,4a,1c,c3,a4,a1,f2,a1,e3,fd,67,4b,a8,f3,\
"rkeysecu"=hex:b9,02,cc,6d,bc,ab,fb,a6,02,44,2d,55,63,15,1d,9d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3284)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-04-04  23:23:55
ComboFix-quarantined-files.txt  2011-04-04 21:23
ComboFix2.txt  2011-04-04 18:08
ComboFix3.txt  2011-04-03 18:34
.
Vor Suchlauf: 19 Verzeichnis(se), 38.424.592.384 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 38.406.696.960 Bytes frei
.
- - End Of File - - AD245C577822BA818AFA984EA30FD68C

cosinus 05.04.2011 10:49
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Trojanie 05.04.2011 18:52
hier das kaspersky "rootkit entfern" log:

Code:
2011/04/05 19:51:12.0312 1376        TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/05 19:51:12.0640 1376        ================================================================================
2011/04/05 19:51:12.0640 1376        SystemInfo:
2011/04/05 19:51:12.0640 1376       
2011/04/05 19:51:12.0640 1376        OS Version: 5.1.2600 ServicePack: 3.0
2011/04/05 19:51:12.0640 1376        Product type: Workstation
2011/04/05 19:51:12.0640 1376        ComputerName: TONIE
2011/04/05 19:51:12.0640 1376        UserName: Tonie
2011/04/05 19:51:12.0640 1376        Windows directory: C:\WINDOWS
2011/04/05 19:51:12.0640 1376        System windows directory: C:\WINDOWS
2011/04/05 19:51:12.0640 1376        Processor architecture: Intel x86
2011/04/05 19:51:12.0640 1376        Number of processors: 2
2011/04/05 19:51:12.0640 1376        Page size: 0x1000
2011/04/05 19:51:12.0640 1376        Boot type: Normal boot
2011/04/05 19:51:12.0640 1376        ================================================================================
2011/04/05 19:51:12.0859 1376        Initialize success
2011/04/05 19:51:40.0078 1300        ================================================================================
2011/04/05 19:51:40.0078 1300        Scan started
2011/04/05 19:51:40.0078 1300        Mode: Manual;
2011/04/05 19:51:40.0078 1300        ================================================================================
2011/04/05 19:51:40.0531 1300        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/04/05 19:51:40.0562 1300        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/04/05 19:51:40.0609 1300        aec            (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/04/05 19:51:40.0656 1300        AFD            (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/04/05 19:51:40.0859 1300        ALCXWDM        (dd8520280304b6145a6be31008748c7c) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/04/05 19:51:41.0125 1300        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/04/05 19:51:41.0156 1300        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/04/05 19:51:41.0203 1300        Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/04/05 19:51:41.0234 1300        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/04/05 19:51:41.0312 1300        avgio          (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/04/05 19:51:41.0343 1300        avgntflt        (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/04/05 19:51:41.0375 1300        avipbb          (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/04/05 19:51:41.0453 1300        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/04/05 19:51:41.0625 1300        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/04/05 19:51:41.0718 1300        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/04/05 19:51:41.0750 1300        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/04/05 19:51:41.0796 1300        cdrbsdrv        (9008ad94f28360a2f1409592bfc7acf7) C:\WINDOWS\system32\drivers\cdrbsdrv.sys
2011/04/05 19:51:41.0812 1300        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/04/05 19:51:42.0031 1300        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/04/05 19:51:42.0078 1300        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/04/05 19:51:42.0109 1300        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/04/05 19:51:42.0140 1300        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/04/05 19:51:42.0171 1300        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/04/05 19:51:42.0234 1300        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/04/05 19:51:42.0281 1300        EAPPkt          (efacd8d57a42a93e244a0dbd357e8cb8) C:\WINDOWS\system32\DRIVERS\EAPPkt.sys
2011/04/05 19:51:42.0343 1300        Fastfat        (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/04/05 19:51:42.0375 1300        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/04/05 19:51:42.0406 1300        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/04/05 19:51:42.0437 1300        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/04/05 19:51:42.0468 1300        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/04/05 19:51:42.0484 1300        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/04/05 19:51:42.0515 1300        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/04/05 19:51:42.0562 1300        FWLANUSB        (ff12fa487265da2ac7de4be53f72ff1a) C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
2011/04/05 19:51:42.0609 1300        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/04/05 19:51:42.0640 1300        hamachi        (85f4e4617dbd603c2202354cedfdf249) C:\WINDOWS\system32\DRIVERS\hamachi.sys
2011/04/05 19:51:42.0671 1300        hidusb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/04/05 19:51:42.0765 1300        HPZid412        (d03d10f7ded688fecf50f8fbf1ea9b8a) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
2011/04/05 19:51:42.0796 1300        HPZipr12        (89f41658929393487b6b7d13c8528ce3) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
2011/04/05 19:51:42.0812 1300        HPZius12        (abcb05ccdbf03000354b9553820e39f8) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
2011/04/05 19:51:42.0859 1300        HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/04/05 19:51:42.0937 1300        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/04/05 19:51:42.0968 1300        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/04/05 19:51:43.0062 1300        intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/04/05 19:51:43.0093 1300        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/04/05 19:51:43.0125 1300        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/04/05 19:51:43.0156 1300        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/04/05 19:51:43.0187 1300        IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/04/05 19:51:43.0218 1300        IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/04/05 19:51:43.0250 1300        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/04/05 19:51:43.0281 1300        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/04/05 19:51:43.0328 1300        k750bus        (fe8300320281d658a7854d5cfc02a63f) C:\WINDOWS\system32\DRIVERS\k750bus.sys
2011/04/05 19:51:43.0359 1300        k750mdfl        (f44521f63c0c00364fa3d59db980de6a) C:\WINDOWS\system32\DRIVERS\k750mdfl.sys
2011/04/05 19:51:43.0390 1300        k750mdm        (e93323c3ed5e8923a177740a973c27b2) C:\WINDOWS\system32\DRIVERS\k750mdm.sys
2011/04/05 19:51:43.0437 1300        k750mgmt        (9d5f5a70ca0b7c428efcd73db50e6ac7) C:\WINDOWS\system32\DRIVERS\k750mgmt.sys
2011/04/05 19:51:43.0468 1300        k750obex        (81ca2d57b2c14f76f4ba80846784bb3d) C:\WINDOWS\system32\DRIVERS\k750obex.sys
2011/04/05 19:51:43.0500 1300        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/04/05 19:51:43.0531 1300        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/04/05 19:51:43.0578 1300        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/04/05 19:51:43.0625 1300        KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/04/05 19:51:43.0703 1300        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/04/05 19:51:43.0750 1300        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/04/05 19:51:43.0781 1300        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/04/05 19:51:43.0812 1300        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/04/05 19:51:43.0859 1300        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/04/05 19:51:43.0890 1300        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/04/05 19:51:43.0937 1300        MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/04/05 19:51:43.0968 1300        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/04/05 19:51:44.0015 1300        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/04/05 19:51:44.0046 1300        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/04/05 19:51:44.0062 1300        MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/04/05 19:51:44.0109 1300        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/04/05 19:51:44.0125 1300        Mup            (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/04/05 19:51:44.0171 1300        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/04/05 19:51:44.0187 1300        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/04/05 19:51:44.0218 1300        Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/04/05 19:51:44.0234 1300        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/04/05 19:51:44.0265 1300        NDProxy        (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/04/05 19:51:44.0296 1300        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/04/05 19:51:44.0343 1300        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/04/05 19:51:44.0421 1300        nmwcd          (9a908a9bb857c2cceb2907eb9dcaeb8b) C:\WINDOWS\system32\drivers\ccdcmb.sys
2011/04/05 19:51:44.0453 1300        nmwcdc          (68ec3ee2348e475ea62c66e6aafcfc9b) C:\WINDOWS\system32\drivers\ccdcmbo.sys
2011/04/05 19:51:44.0500 1300        nmwcdnsu        (be7fd9ca07e7d39f77c78ba5756930d9) C:\WINDOWS\system32\drivers\nmwcdnsu.sys
2011/04/05 19:51:44.0531 1300        nmwcdnsuc      (94651f5808d3328d28ef967a9e853b8f) C:\WINDOWS\system32\drivers\nmwcdnsuc.sys
2011/04/05 19:51:44.0546 1300        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/04/05 19:51:44.0609 1300        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/04/05 19:51:44.0640 1300        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/04/05 19:51:44.0937 1300        nv              (cd9ed87b4fc6ec41d3b5be0b923843fc) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/04/05 19:51:45.0203 1300        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/04/05 19:51:45.0234 1300        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/04/05 19:51:45.0281 1300        Parport        (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/04/05 19:51:45.0296 1300        PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/04/05 19:51:45.0343 1300        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/04/05 19:51:45.0375 1300        pccsmcfd        (175cc28dcf819f78caa3fbd44ad9e52a) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/04/05 19:51:45.0406 1300        PCI            (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/04/05 19:51:45.0453 1300        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/04/05 19:51:45.0484 1300        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/04/05 19:51:45.0718 1300        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/04/05 19:51:45.0734 1300        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/04/05 19:51:45.0765 1300        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/04/05 19:51:45.0796 1300        PxHelp20        (153d02480a0a2f45785522e814c634b6) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/04/05 19:51:45.0937 1300        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/04/05 19:51:45.0968 1300        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/04/05 19:51:46.0000 1300        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/04/05 19:51:46.0015 1300        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/04/05 19:51:46.0046 1300        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/04/05 19:51:46.0062 1300        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/04/05 19:51:46.0093 1300        rdpdr          (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/04/05 19:51:46.0140 1300        RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/04/05 19:51:46.0187 1300        redbook        (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/04/05 19:51:46.0265 1300        rtl8139        (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/04/05 19:51:46.0312 1300        RTLWUSB        (691db86b09e13ca5d3e8881141738cc5) C:\WINDOWS\system32\DRIVERS\wg111v2.sys
2011/04/05 19:51:46.0359 1300        s116bus        (815445f4676cc96bc9aeec303c727e19) C:\WINDOWS\system32\DRIVERS\s116bus.sys
2011/04/05 19:51:46.0390 1300        s116mdfl        (333d1e0743e6de1779c3c418ac601c3a) C:\WINDOWS\system32\DRIVERS\s116mdfl.sys
2011/04/05 19:51:46.0421 1300        s116mdm        (50d6e5b021e9ec7553ab8a3553cc1b6b) C:\WINDOWS\system32\DRIVERS\s116mdm.sys
2011/04/05 19:51:46.0453 1300        s116mgmt        (1589aa53e43f8d193a7d4d580d3ffa95) C:\WINDOWS\system32\DRIVERS\s116mgmt.sys
2011/04/05 19:51:46.0500 1300        s116nd5        (306f85733671fe507470f0273025e768) C:\WINDOWS\system32\DRIVERS\s116nd5.sys
2011/04/05 19:51:46.0531 1300        s116obex        (ec32601f04a5a5de89315d0f55e73d66) C:\WINDOWS\system32\DRIVERS\s116obex.sys
2011/04/05 19:51:46.0562 1300        s116unic        (32e3ecb4b2b5887426eaf241a8149cde) C:\WINDOWS\system32\DRIVERS\s116unic.sys
2011/04/05 19:51:46.0625 1300        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/04/05 19:51:46.0671 1300        serenum        (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/04/05 19:51:46.0703 1300        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/04/05 19:51:46.0765 1300        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\DRIVERS\sfloppy.sys
2011/04/05 19:51:46.0843 1300        SjyPkt          (3d7ef286e806f9bd9339aa52e28dcd67) C:\WINDOWS\System32\Drivers\SjyPkt.sys
2011/04/05 19:51:46.0906 1300        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/04/05 19:51:46.0968 1300        sptd            (d15da1ba189770d93eea2d7e18f95af9) C:\WINDOWS\system32\Drivers\sptd.sys
2011/04/05 19:51:46.0968 1300        Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: d15da1ba189770d93eea2d7e18f95af9
2011/04/05 19:51:46.0984 1300        sptd - detected Locked file (1)
2011/04/05 19:51:47.0000 1300        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/04/05 19:51:47.0031 1300        Srv            (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/04/05 19:51:47.0078 1300        ssmdrv          (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/04/05 19:51:47.0109 1300        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/04/05 19:51:47.0140 1300        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/04/05 19:51:47.0265 1300        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/04/05 19:51:47.0328 1300        Tcpip          (ad978a1b783b5719720cff204b666c8e) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/04/05 19:51:47.0359 1300        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/04/05 19:51:47.0390 1300        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/04/05 19:51:47.0421 1300        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/04/05 19:51:47.0500 1300        uagp35          (d85938f272d1bcf3db3a31fc0a048928) C:\WINDOWS\system32\DRIVERS\uagp35.sys
2011/04/05 19:51:47.0546 1300        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/04/05 19:51:47.0593 1300        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/04/05 19:51:47.0656 1300        upperdev        (a34560a5d516a2f5240180370866b99d) C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys
2011/04/05 19:51:47.0703 1300        usbccgp        (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/04/05 19:51:47.0734 1300        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/04/05 19:51:47.0750 1300        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/04/05 19:51:47.0796 1300        usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/04/05 19:51:47.0812 1300        usbscan        (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/04/05 19:51:47.0875 1300        usbser          (1c888b000c2f9492f4b15b5b6b84873e) C:\WINDOWS\system32\drivers\usbser.sys
2011/04/05 19:51:47.0906 1300        UsbserFilt      (6410eebd6e0427466812858ee84c8467) C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys
2011/04/05 19:51:47.0937 1300        USBSTOR        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/04/05 19:51:47.0953 1300        usbuhci        (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/04/05 19:51:47.0984 1300        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/04/05 19:51:48.0015 1300        ViaIde          (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys
2011/04/05 19:51:48.0031 1300        VolSnap        (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/04/05 19:51:48.0078 1300        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/04/05 19:51:48.0140 1300        Wdf01000        (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
2011/04/05 19:51:48.0203 1300        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/04/05 19:51:48.0312 1300        WudfPf          (50eb9e21963b4f06fd010d007d54351b) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/04/05 19:51:48.0343 1300        WudfRd          (6e209664bdea8a15b5e8e480d6c607c2) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/04/05 19:51:48.0531 1300        ================================================================================
2011/04/05 19:51:48.0531 1300        Scan finished
2011/04/05 19:51:48.0531 1300        ================================================================================
2011/04/05 19:51:48.0546 2992        Detected object count: 1
2011/04/05 19:51:52.0500 2992        Locked file(sptd) - User select action: Skip

cosinus 05.04.2011 19:52
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Trojanie 06.04.2011 20:27
GMER stürzt leider immer ab!

Hier das OSAM File:

Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 21:26:31 on 06.04.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.16

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"WGASetup.job" - "Microsoft Corporation" - C:\WINDOWS\system32\KB905474\wgasetup.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl  (File signed by Microsoft | File found, but it contains no detailed information)
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Tonie\LOKALE~1\Temp\catchme.sys  (File not found)
"cdrbsdrv" (cdrbsdrv) - "B.H.A Corporation" - C:\WINDOWS\system32\drivers\cdrbsdrv.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Realtek EAPPkt Protocol" (EAPPkt) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\DRIVERS\EAPPkt.sys
"SjyPkt" (SjyPkt) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\Drivers\SjyPkt.sys
"Sony Ericsson 750 driver (WDM)" (k750bus) - "MCCI" - C:\WINDOWS\System32\DRIVERS\k750bus.sys
"Sony Ericsson 750 USB WMC Device Management Drivers" (k750mgmt) - "MCCI" - C:\WINDOWS\System32\DRIVERS\k750mgmt.sys
"Sony Ericsson 750 USB WMC Modem Drivers" (k750mdm) - "MCCI" - C:\WINDOWS\System32\DRIVERS\k750mdm.sys
"Sony Ericsson 750 USB WMC Modem Filter" (k750mdfl) - "MCCI" - C:\WINDOWS\System32\DRIVERS\k750mdfl.sys
"Sony Ericsson 750 USB WMC OBEX Interface Drivers" (k750obex) - "MCCI" - C:\WINDOWS\System32\DRIVERS\k750obex.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"ugldipod" (ugldipod) - ? - C:\DOKUME~1\Tonie\LOKALE~1\Temp\ugldipod.sys  (Hidden registry entry, rootkit activity | File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{29F08A22-C8C1-4971-808F-21D9C825B187} "JPEG Lossless Rotator extension" - ? - C:\PROGRA~1\JPEGLO~1\contmenu.dll  (File found, but it contains no detailed information)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"Klicke hier um das Projekt xp-AntiSpy zu unterstützen" - ? - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "{855F3B16-6D32-4FE6-8A56-BBB695989046}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "Java Plug-in 1.5.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@C:\Programme\Messenger\Msgslang.dll,-61144" - "Microsoft Corporation" - C:\Programme\Messenger\msmsgs.exe
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{DDE87865-83C5-48c4-8357-2F5B1AA84522} "HP Intelligente Auswahl" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{0347C33E-8762-4905-BF09-768834316C61} "HP Print Enhancer" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
{FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} "HP Smart BHO Class" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -  (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Tonie\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"AVM WLAN Connection Service" (AVM WLAN Connection Service) - "AVM Berlin" - C:\Programme\avmwlanstick\WlanNetService.exe
"B's Recorder GOLD Library General Service" (bgsvcgen) - "SOURCENEXT" - C:\WINDOWS\system32\bgsvcgen.exe
"Canon Camera Access Library 8" (CCALib8) - "Canon Inc." - C:\Programme\Canon\CAL\CALMAIN.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"HP CUE DeviceDiscovery Service" (hpqddsvc) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll
"hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZinw12.dll
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZipm12.dll
"PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"PnkBstrB" (PnkBstrB) - ? - C:\WINDOWS\system32\PnkBstrB.exe  (File found, but it contains no detailed information)
"ServiceLayer" (ServiceLayer) - "Nokia." - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
MBR-Check:

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Professional
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x0000003d

Kernel Drivers (total 122):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E6000 \WINDOWS\system32\hal.dll
  0xB85A8000 \WINDOWS\system32\KDCOM.DLL
  0xB84B8000 \WINDOWS\system32\BOOTVID.dll
  0xB7EA6000 spzb.sys
  0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xB7E8E000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
  0xB7E5F000 ACPI.sys
  0xB7E4E000 pci.sys
  0xB80A8000 isapnp.sys
  0xB8670000 pciide.sys
  0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xB85AC000 viaide.sys
  0xB80B8000 MountMgr.sys
  0xB7E2F000 ftdisk.sys
  0xB85AE000 dmload.sys
  0xB7E09000 dmio.sys
  0xB8330000 PartMgr.sys
  0xB80C8000 VolSnap.sys
  0xB7DF1000 atapi.sys
  0xB80D8000 disk.sys
  0xB80E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB7DD1000 fltmgr.sys
  0xB7DBF000 sr.sys
  0xB80F8000 PxHelp20.sys
  0xB7DA8000 KSecDD.sys
  0xB7D95000 WudfPf.sys
  0xB7D08000 Ntfs.sys
  0xB7CDB000 NDIS.sys
  0xB8108000 uagp35.sys
  0xB7CC1000 Mup.sys
  0xB8318000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB6ED1000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB6EBD000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB8450000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
  0xB8158000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xB8458000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS
  0xB8168000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xB8178000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB6E9A000 \SystemRoot\system32\DRIVERS\ks.sys
  0xB8460000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB6E76000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xB8468000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB8188000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xB8470000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB8478000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xB6E43000 \SystemRoot\system32\DRIVERS\parport.sys
  0xB8198000 \SystemRoot\system32\DRIVERS\serial.sys
  0xB7C89000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB6A54000 \SystemRoot\system32\drivers\ALCXWDM.SYS
  0xB6A30000 \SystemRoot\system32\drivers\portcls.sys
  0xB81A8000 \SystemRoot\system32\drivers\drmk.sys
  0xB87BD000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xB81B8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xB7C85000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB6A19000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xB81C8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xB81D8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xB8480000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB6968000 \SystemRoot\system32\DRIVERS\psched.sys
  0xB81E8000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xB8488000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xB8490000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB6938000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xB8208000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xB8498000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xB85F8000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB68DA000 \SystemRoot\system32\DRIVERS\update.sys
  0xB78A4000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB8218000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB8258000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xB862C000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB84B0000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xB8634000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xB86C3000 \SystemRoot\System32\Drivers\Null.SYS
  0xB8636000 \SystemRoot\System32\Drivers\Beep.SYS
  0xB8348000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xB8378000 \SystemRoot\System32\drivers\vga.sys
  0xB8638000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xB863A000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xB8380000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xB8388000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB8588000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB4757000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB46FE000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB46D8000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB46B0000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB8278000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB468E000 \SystemRoot\System32\drivers\afd.sys
  0xB8288000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB8390000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB4663000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB45F3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xB8298000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB45D7000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xB863E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xB8548000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xB82C8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xB82D8000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB68D2000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xB44F7000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xB864A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB8560000 \SystemRoot\System32\drivers\Dxapi.sys
  0xB83B8000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xB8692000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32\nv4_disp.dll
  0xBD635000 \SystemRoot\System32\ATMFD.DLL
  0xB43AB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB425A000 \SystemRoot\system32\DRIVERS\EAPPkt.sys
  0xB436F000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB404D000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB8644000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB3E65000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB3BD0000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB3CF5000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB37EC000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xB37AB000 \??\C:\DOKUME~1\Tonie\LOKALE~1\Temp\ugldipod.sys
  0xB3732000 \SystemRoot\system32\DRIVERS\wg111v2.sys
  0xB3679000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 39):
      0 System Idle Process
      4 System
    468 C:\WINDOWS\system32\smss.exe
    516 csrss.exe
    540 C:\WINDOWS\system32\winlogon.exe
    584 C:\WINDOWS\system32\services.exe
    596 C:\WINDOWS\system32\lsass.exe
    784 C:\WINDOWS\system32\nvsvc32.exe
    808 C:\WINDOWS\system32\svchost.exe
    856 svchost.exe
    896 C:\WINDOWS\system32\svchost.exe
    940 C:\WINDOWS\system32\svchost.exe
    1020 svchost.exe
    1128 svchost.exe
    1316 C:\WINDOWS\system32\spoolsv.exe
    1384 C:\WINDOWS\explorer.exe
    1396 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1440 svchost.exe
    1544 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1556 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    1576 C:\Programme\avmwlanstick\WLanNetService.exe
    1612 C:\WINDOWS\system32\bgsvcgen.exe
    1664 C:\Programme\Bonjour\mDNSResponder.exe
    1712 C:\WINDOWS\system32\svchost.exe
    1740 C:\Programme\Java\jre6\bin\jqs.exe
    1792 C:\WINDOWS\system32\svchost.exe
    1872 C:\WINDOWS\system32\svchost.exe
    1888 C:\WINDOWS\system32\PnkBstrA.exe
    1920 C:\WINDOWS\system32\PnkBstrB.exe
    1964 C:\WINDOWS\system32\svchost.exe
    492 C:\Programme\Canon\CAL\CALMAIN.exe
    644 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    732 C:\WINDOWS\system32\rundll32.exe
    816 C:\WINDOWS\soundman.exe
    3332 C:\Programme\Mozilla Firefox\firefox.exe
    2836 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    2952 alg.exe
    2112 <unknown>
    3240 C:\Dokumente und Einstellungen\Tonie\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000f`a012bc00  (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000028`09f85400  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2504C, Rev: VT100-50

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!
Zur Info:

Habe vor ca. 3 Tagen (während des Threads) eine Datei auf eine externe FP geladen. Heute habe ich sie mir wieder angeschaut und festgestellt, dass auch ein Ordner mit Namen "recycler" mit drauf ist. Das scheint ja immer noch das Virus zu sein. Muss ich jetzt wieder von vorne anfangen oder hat das nichts zu sagen? Meine Autorun-funktion habe ich erst gerade über xp-antispy deaktiviert!

cosinus 06.04.2011 22:48
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Trojanie 08.04.2011 06:13
Malwarebytes:
Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6304

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.04.2011 21:59:37
mbam-log-2011-04-07 (21-59-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|)
Durchsuchte Objekte: 296027
Laufzeit: 1 Stunde(n), 14 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Trojanie 08.04.2011 10:28
SuperAntiSpyware läuft gerade noch durch!

Die externen Festplatten habe ich während der Scans angeschlossen. Was ist mit den anderen Speichersticks und Speicherkarten bzw. MP3 Player? Kann man diese mit dem FlashDisinfector scannen oder ist das gar nicht notwendig???

cosinus 08.04.2011 10:35
Doch du kannst alle USB-Datenräger damit impfen, um den Autostart zu "killen" ;)

Trojanie 08.04.2011 16:54
Hier der SuperAntiSpyware Bericht:

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/08/2011 at 11:26 AM

Application Version : 4.50.1002

Core Rules Database Version : 6781
Trace Rules Database Version: 4593

Scan type      : Complete Scan
Total Scan Time : 04:06:54

Memory items scanned      : 489
Memory threats detected  : 0
Registry items scanned    : 7343
Registry threats detected : 0
File items scanned        : 149268
File threats detected    : 2

BearShare File Sharing Client
        C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
        C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\BEARSHARE.LNK
Habe die Dateien des FilesharingClient "Bearshare" gelöscht, den habe ich eh ewig nicht mehr benutzt!

Hab noch drei Wichtige Fragen:

- Was muss ich bei FlashDisinfector beachten?
- Werden die Würmer dabei gelöscht und
- wie sichere ich mich zukünftig vor solchen Autorun-Würmern? Reicht da die Abschaltung des Autoruns und ein aktueller Virenscanner?

cosinus 08.04.2011 17:51
Zitat:
Reicht da die Abschaltung des Autoruns und ein aktueller Virenscanner?
Aktueller Virenscanner ist unzuverlässig. man darf sich niemals drauf verlassen, dass der alle Schädlinge findet. Am besten jeden USB-Stick mit dem FlashDisinfector behandeln und wenn man will am besten noch die automatische Wiedergabe auf jedem laufwerk deaktivieren.

Rechner ansonsten wieder ok oder sind noch Probleme offen?

Trojanie 09.04.2011 09:49
Rechner läuft, Vielen lieben Dank dafür.

cosinus 09.04.2011 14:40
Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Trojanie 10.04.2011 12:56
Passwörter habe ich geändert und alle Aktualisierungen durchgeführt. PDF Reader auch ausgetauscht!

Und die halbe Software runtergeschmissen, hatte sich doch einiges angesammelt. Dann werd ich jetzt mal meine USB-Drives mit FlashDisinfector behandeln, CCleaner nochmal ausführen und anschließend eine Datensicherung durchführen. Fürs Datensichern für Dummys ist denke ich Paragon Backup geeignet, oder was meinst du?

Für das Problem mit meinem Laptop hab ich immer noch keine Lösung - ich glaub da wurden irgendwelche Dienste deaktiviert, die ich zum Aufbauen einer Internetverbindung brauche ... Kein Plan! Sch... SpywareTerminator ...

Trojanie 11.04.2011 19:53
Ich nochmal. Hab versucht, den FlashDisinfector runterzuladen. Den Link habe ich aus einem deiner älteren Artikel:
hxxp://www.myantispyware.com/2009/01/08/flash-disinfector-free-autoruninf-trojans-removal-tool/

Leider bricht der Download zuerst ab, dann gehe ich auf das WiederholenSymbol und er lädt angeblich eine 129kb große datei von bleepingcomputer.com runter. Wenn ich in der Downloadliste draufklicke passiert nichts und die datei ist auch nicht dort, wo ich sie hingespeichert habe.

Das gleiche problem habe ich bei noautoplay.reg, die ich hier hxxp://www.file-upload.net/download-2084920/noautoplay.reg.html runtergeladen habe. Zuerst steht dort "Abgebrochen" in der Downloadliste, dann auf Retry geklickt. Die Datei wird dann kurz auf Viren überprüft und danach kann ich sie nicht ausführen?!? Auf dem Speicherort ist sie auch nicht zu finden.

Ich habe schon ausprobiert, ob das klappt, wenn ich Antivirguard und die WindowsFirewall deaktiviere aber keine chance?

Was mach ich falsch? Oder gibt es noch ein anderes Tool? Oder soll ich die Dateien mit der UbuntuCD einfach löschen? Da wäre bloß das Problem mit der Riesen 500GB Festplatte - da kann ich ja schlecht alle ordner und dateien nachgucken?!?

Vielen Dank schonmal!

Trojanie 11.04.2011 20:25
Edit: Ich kann komischerweise überhaupt keine Ausführbaren Dateien ausführen?!? Bin als Admin angemeldet! fehlermeldung: Auf das angegebene Gerät kann nicht zugegriffen werden, sie verfügen evtl. nicht über ausreichende berechtigung, um auf das Element zugreifen zu können.

Hat das Vielleicht mit der WindowsXP Genuine Abfrage zu tun? Hab beim Windows SicherheitsUpdate zugestimmt, weil ich ja ein OriginalXP drauf habe!?

cosinus 12.04.2011 09:37
Garnichts kannst du ausführen?
Was passiert in einem neuen Benutzerkonto? Erstell dir mal so eins über die Sytemsteuerung.

Trojanie 12.04.2011 10:22
Mach grad Scans: SuperAntiSpyware hat schon wieder was gefunden?!? :(

Hab alles gelöscht. Lass gerade Malwarebytes-Vollscan durchlaufen und poste dann das Log! Das mit dem Benutzerkonto probier ich dann auch vorher noch aus! Hab ja eins zum Surfen mit eingeschränkten Rechten - soll ich das dann vorher auf Vollzugriff ändern? Sonst kann ich ja nichts installieren!

cosinus 12.04.2011 11:22
Zitat:
Mach grad Scans: SuperAntiSpyware hat schon wieder was gefunden?!?
Was soll man als Außenstehender mit so einer Aussage anfangen? :glaskugel:
Poste bitte das Log, alles andere bringt nichts!

Trojanie 13.04.2011 20:49
Sorry dass ich mich jetzt erst wieder melde.

Mein Desktop PC Netzteil macht dauernd schlapp und braucht nach jedem Neustart nach dem Scan ne halbe ewigkeit bis er wieder läuft. Seit Montag geht aber gar nichts mehr und ich lass das netzteil austauschen. Aber der laptop läuft gott sei dank wieder. Hab die Systemwiederherstellung ausgeführt und jetzt rennt er wieder wie früher ;)

mach jetzt erst einmal scans mit malwarebytes und OTL auf meinem laptop - hoffe dass der clean ist. post folgt

Malwarebytes-Log: 02.04.2011

Code:
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5214

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02.04.2011 09:00:15
mbam-log-2011-04-02 (09-00-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 235382
Laufzeit: 2 Stunde(n), 5 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Malwarebytes-Log aktuell:

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6354

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

13.04.2011 22:12:51
mbam-log-2011-04-13 (22-12-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163379
Laufzeit: 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
OTL folgt

Trojanie 13.04.2011 21:54
OTL:

Code:
OTL logfile created on: 13.04.2011 22:54:51 - Run 1
OTL by OldTimer - Version 3.2.22.3    Folder = C:\Users\Martin\Downloads
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 66,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 420,55 Gb Total Space | 372,06 Gb Free Space | 88,47% Space Free | Partition Type: NTFS
Drive D: | 30,25 Gb Total Space | 29,41 Gb Free Space | 97,25% Space Free | Partition Type: NTFS
 
Computer Name: MARTIN-PC | User Name: Martin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Martin\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Spyware Terminator\SpywareTerminatorShield.Exe (Crawler.com)
PRC - C:\Programme\Spyware Terminator\sp_rsser.exe (Crawler.com)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Lenovo\Energy Management\utility.exe (Lenovo(beijing) Limited)
PRC - C:\Programme\Lenovo\Energy Management\Energy Management.exe (Lenovo (Beijing) Limited)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\CONEXANT\SAII\SmartAudio.exe (Conexant Systems, Inc)
PRC - C:\Programme\Lenovo\Bluetooth Software\btwdins.exe (Broadcom Corporation.)
PRC - C:\Programme\Lenovo\ReadyComm\common\IGRS.exe (Lenovo Group Limited)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\IgrsSvcs.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
PRC - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
PRC - C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (Microsoft Corp.)
PRC - c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
PRC - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Martin\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (sp_rssrv) -- C:\Program Files\Spyware Terminator\sp_rsser.exe (Crawler.com)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Lenovo ReadyComm ConnSvc) -- C:\Program Files\Lenovo\ReadyComm\ConnSvc.exe (Lenovo Group Limited)
SRV - (Lenovo ReadyComm AppSvc) -- C:\Program Files\Lenovo\ReadyComm\AppSvc.exe (Lenovo Group Limited)
SRV - (btwdins) -- C:\Programme\Lenovo\Bluetooth Software\btwdins.exe (Broadcom Corporation.)
SRV - (IGRS) -- C:\Program Files\Lenovo\ReadyComm\common\IGRS.exe (Lenovo Group Limited)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (ReadyComm.DirectRouter) -- C:\windows\System32\IgrsSvcs.exe (Microsoft Corporation)
SRV - (PS_MDP) -- C:\windows\System32\IgrsSvcs.exe (Microsoft Corporation)
SRV - (IAANTMON) Intel(R) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (sp_rsdrv2) -- C:\Windows\System32\drivers\sp_rsdrv2.sys ()
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation)
DRV - (funfrm) -- C:\windows\System32\drivers\funfrm.sys ()
DRV - (ApfiltrService) -- C:\Windows\System32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
DRV - (RSUSBSTOR) -- C:\Windows\System32\drivers\RtsUStor.sys (Realtek Semiconductor Corp.)
DRV - (Bridge0) -- C:\Windows\System32\drivers\wdbridge.sys (Lenovo)
DRV - (wsvd) -- C:\Windows\System32\drivers\wsvd.sys (CyberLink)
DRV - (wdmirror) -- C:\Windows\System32\drivers\WDMirror.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (k57nd60x) Broadcom NetLink (TM) -- C:\Windows\System32\drivers\k57nd60x.sys (Broadcom Corporation)
DRV - (Cam5607) -- C:\Windows\System32\drivers\BisonC07.sys (Bison Electronics. Inc. )
DRV - (CnxtHdAudService) -- C:\Windows\System32\drivers\CHDRT32.sys (Conexant Systems Inc.)
DRV - (ACPIVPC) -- C:\Windows\System32\drivers\AcpiVpc.sys (Lenovo Corporation)
DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\NETw5v32.sys (Intel Corporation)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (WimFltr) -- C:\Windows\System32\drivers\WimFltr.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = FB 44 B7 2E 53 4C CB 01  [binary data]
IE - HKCU\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..network.proxy.type: 0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.03.27 18:41:51 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.03.27 18:41:51 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011.02.01 09:52:28 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2010.10.23 17:15:56 | 000,000,000 | ---D | M] (No name found) -- C:\Windows\System32\config\systemprofile\AppData\Roaming\Mozilla\Extensions
[2010.10.23 17:15:56 | 000,000,000 | ---D | M] (No name found) -- C:\Windows\System32\config\systemprofile\AppData\Roaming\Mozilla\Firefox\Profiles\oh23ma8z.default\extensions
[2011.04.13 22:01:14 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.09.04 19:02:29 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.09.04 17:10:36 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}
[2010.01.04 15:27:47 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
[2010.01.03 12:58:15 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
[2010.09.04 19:02:29 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.09.22 23:20:16 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2007.07.26 13:05:16 | 000,001,329 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\crawlersrch.xml
[2010.09.22 23:20:16 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.22 23:20:16 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.22 23:20:16 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.22 23:20:16 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll (Microsoft Corp.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll (Conduit Ltd.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Energy Management] C:\Programme\Lenovo\Energy Management\Energy Management.exe (Lenovo (Beijing) Limited)
O4 - HKLM..\Run: [EnergyUtility] C:\Programme\Lenovo\Energy Management\utility.exe (Lenovo(beijing) Limited)
O4 - HKLM..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [SmartAudio] C:\Program Files\CONEXANT\SAII\SAIICpl.exe ()
O4 - HKLM..\Run: [SpywareTerminator] C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe (Crawler.com)
O4 - HKCU..\Run: [Uninstall_CToolbar] C:\Users\Martin\AppData\Local\Temp\CUninst.exe (Crawler.com)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetOpenWith = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: @C:\Program Files\Lenovo\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @C:\Program Files\Lenovo\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Common Files\microsoft shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.04.13 22:08:27 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbamswissarmy.sys
[2011.04.13 22:08:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.04.13 22:08:21 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys
[2011.04.02 06:53:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.04.02 06:53:56 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.03.29 21:16:50 | 000,000,000 | ---D | C] -- C:\Windows\System32\config\systemprofile\AppData\Roaming\Avira
[2011.03.29 20:52:30 | 000,000,000 | ---D | C] -- C:\Programme\Crawler
[2011.03.29 20:52:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Terminator
[2011.03.29 20:52:26 | 000,000,000 | ---D | C] -- C:\Programme\Spyware Terminator
[2011.03.29 20:52:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Spyware Terminator
 
========== Files - Modified Within 30 Days ==========
 
[2011.04.13 22:40:35 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2011.04.13 22:08:27 | 000,001,071 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.04.13 21:56:46 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.04.13 21:56:46 | 000,009,696 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.04.13 21:53:39 | 000,690,574 | ---- | M] () -- C:\windows\System32\perfh007.dat
[2011.04.13 21:53:39 | 000,653,898 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2011.04.13 21:53:39 | 000,143,916 | ---- | M] () -- C:\windows\System32\perfc007.dat
[2011.04.13 21:53:39 | 000,121,090 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2011.04.13 21:49:15 | 2388,078,592 | -HS- | M] () -- C:\hiberfil.sys
[2011.03.29 20:53:08 | 000,001,084 | ---- | M] () -- C:\Users\Public\Desktop\Spyware Terminator.lnk
[2011.03.29 20:52:28 | 000,142,592 | ---- | M] () -- C:\windows\System32\drivers\sp_rsdrv2.sys
[2011.03.19 16:23:46 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\windows\System32\drivers\avipbb.sys
[2011.03.15 22:29:46 | 000,004,633 | ---- | M] () -- C:\Users\Martin\.recently-used.xbel
 
========== Files Created - No Company Name ==========
 
[2011.04.13 22:08:27 | 000,001,071 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.29 20:53:08 | 000,001,084 | ---- | C] () -- C:\Users\Public\Desktop\Spyware Terminator.lnk
[2011.03.29 20:52:28 | 000,142,592 | ---- | C] () -- C:\windows\System32\drivers\sp_rsdrv2.sys
[2011.03.15 22:29:46 | 000,004,633 | ---- | C] () -- C:\Users\Martin\.recently-used.xbel
[2011.03.06 10:50:00 | 000,138,056 | ---- | C] () -- C:\windows\System32\drivers\PnkBstrK.sys
[2011.03.06 10:49:55 | 000,189,248 | ---- | C] () -- C:\windows\System32\PnkBstrB.exe
[2011.03.06 10:49:27 | 000,075,136 | ---- | C] () -- C:\windows\System32\PnkBstrA.exe
[2010.10.23 17:15:46 | 000,000,000 | ---- | C] () -- C:\windows\nsreg.dat
[2010.09.20 20:05:17 | 000,000,202 | ---- | C] () -- C:\windows\S3D.ini
[2010.09.20 20:04:12 | 000,005,734 | ---- | C] () -- C:\windows\unins000.dat
[2010.08.08 17:09:15 | 000,000,056 | -H-- | C] () -- C:\windows\System32\ezsidmv.dat
[2010.05.11 19:28:48 | 000,027,648 | ---- | C] () -- C:\windows\System32\AVSredirect.dll
[2010.03.16 20:45:52 | 000,095,994 | ---- | C] () -- C:\windows\System32\nvcoproc.bin
[2010.03.02 14:19:08 | 000,000,168 | ---- | C] () -- C:\windows\SHISETUP.SYS
[2010.02.16 17:04:02 | 000,087,040 | ---- | C] () -- C:\windows\System32\TrayIcon12.dll
[2010.02.16 17:04:01 | 000,061,952 | ---- | C] () -- C:\windows\System32\ajnetmask.dll
[2010.02.07 22:12:45 | 000,000,400 | ---- | C] () -- C:\windows\ODBC.INI
[2009.11.24 21:17:40 | 001,410,312 | ---- | C] () -- C:\windows\System32\IcnOvrly.dll
[2009.11.24 21:17:40 | 001,171,456 | ---- | C] () -- C:\windows\System32\PicNotify.dll
[2009.11.24 21:17:40 | 000,660,744 | ---- | C] () -- C:\windows\System32\EncIcons.dll
[2009.11.24 21:17:40 | 000,513,288 | ---- | C] () -- C:\windows\System32\SimpleExt.dll
[2009.11.24 21:17:39 | 002,110,728 | ---- | C] () -- C:\windows\System32\Apblend.dll
[2009.11.24 21:17:30 | 001,044,480 | ---- | C] () -- C:\windows\System32\3DImageRenderer.dll
[2009.11.24 21:16:58 | 000,057,344 | ---- | C] () -- C:\windows\AsfHelper.dll
[2009.11.24 21:16:58 | 000,054,800 | ---- | C] () -- C:\windows\System32\drivers\funfrm.sys
[2009.11.24 21:16:36 | 000,015,190 | ---- | C] () -- C:\windows\M3000Twn.ini
[2009.11.24 21:10:01 | 000,016,648 | R--- | C] () -- C:\windows\System32\LogAPI.dll
[2009.11.16 21:42:54 | 000,690,574 | ---- | C] () -- C:\windows\System32\perfh007.dat
[2009.11.16 21:42:54 | 000,295,922 | ---- | C] () -- C:\windows\System32\perfi007.dat
[2009.11.16 21:42:54 | 000,143,916 | ---- | C] () -- C:\windows\System32\perfc007.dat
[2009.11.16 21:42:54 | 000,038,104 | ---- | C] () -- C:\windows\System32\perfd007.dat
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\windows\bootstat.dat
[2009.07.14 06:33:53 | 000,481,544 | ---- | C] () -- C:\windows\System32\FNTCACHE.DAT
[2009.07.14 04:05:48 | 000,653,898 | ---- | C] () -- C:\windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,121,090 | ---- | C] () -- C:\windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\windows\System32\dssec.dat
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\windows\System32\BWContextHandler.dll
[2009.07.14 00:09:19 | 000,982,196 | ---- | C] () -- C:\windows\System32\igkrng500.bin
[2009.07.14 00:09:19 | 000,417,344 | ---- | C] () -- C:\windows\System32\igcompkrng500.bin
[2009.07.14 00:09:19 | 000,139,824 | ---- | C] () -- C:\windows\System32\igfcg500.bin
[2009.07.14 00:09:19 | 000,097,448 | ---- | C] () -- C:\windows\System32\igfcg500m.bin
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2009.07.14 06:53:46 | 000,005,916 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2010.09.04 19:04:11 | 000,000,282 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{A6FCAFDC-141D-46B9-A070-5623A8ABE25A}.job
[2010.08.10 17:47:52 | 000,000,186 | ---- | M] () -- C:\Windows\Tasks\{B2ECE939-7EC0-438B-A032-DB58C8F9CDC4}.job
 
========== Purity Check ==========
 
 

< End of report >
Code:
OTL Extras logfile created on: 13.04.2011 22:54:52 - Run 1
OTL by OldTimer - Version 3.2.22.3    Folder = C:\Users\Martin\Downloads
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 66,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 420,55 Gb Total Space | 372,06 Gb Free Space | 88,47% Space Free | Partition Type: NTFS
Drive D: | 30,25 Gb Total Space | 29,41 Gb Free Space | 97,25% Space Free | Partition Type: NTFS
 
Computer Name: MARTIN-PC | User Name: Martin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [MediaMonkey.1Play] -- "C:\PROGRA~1\MEDIAM~1\MEDIAM~2.EXE" "%1" (Ventis Media Inc.)
Directory [MediaMonkey.2PlayNext] -- "C:\PROGRA~1\MEDIAM~1\MEDIAM~2.EXE" /NEXT "%1" (Ventis Media Inc.)
Directory [MediaMonkey.3Enqueue] -- "C:\PROGRA~1\MEDIAM~1\MEDIAM~2.EXE" /ADD "%1" (Ventis Media Inc.)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{17542DBF-E17C-4562-BC4D-FA3EF3076C45}" = Lenovo ReadyComm 5
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java(TM) 6 Update 16
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 21
"{2987EE84-C4EE-4FF5-8160-32DE00D6ABC6}" = GTA2
"{2AFFFDD7-ED85-4A90-8C52-5DA9EBDC9B8F}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{31B5B620-CA8A-4F99-A64E-7DDB3D1BBB69}_is1" = appleJuice Client
"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java(TM) 6 Update 6
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3EFEF049-23D4-4B46-8903-4592FEA51018}" = Windows Live Movie Maker
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"{49F3D04B-B849-4C89-AB31-2366A004EA28}" = Broadcom Gigabit Integrated Controller
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4BB1DCED-84D3-47F9-B718-5947E904593E}" = Lenovo EasyCamera
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{53F5C3EE-05ED-4830-994B-50B2F0D50FCE}" = Microsoft SQL Server Setup Support Files (English)
"{56B4002F-671C-49F4-984C-C760FE3806B5}" = Microsoft SQL Server VSS Writer
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{634F79E1-2A41-4C40-9E8D-89EC740AC9D6}" = Logitech Harmony Remote Software
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{70B7A167-0B88-445D-A3EA-97C73AA88CAC}" = Windows Live Toolbar
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{76C66170-C538-4E77-B54D-48E136B5B533}" = Lenovo ReadyComm 5.0 Service
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{8DC910CD-8EE3-4ffc-A4EB-9B02701059C4}" = Battlefield Heroes
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = Realtek USB 2.0 Card Reader
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}" = Microsoft Search Enhancement Pack
"{9E9D49A4-1DF4-4138-B7DB-5D87A893088E}" = Lenovo Bluetooth with Enhanced Data Rate Software
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A93944F2-D2D4-4750-BFE7-9A288FEAF2CF}" = Apple Application Support
"{A939D341-5A04-4E0A-BB55-3E65B386432D}" = Microsoft Office Small Business Connectivity Components
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AE1E24C2-E720-42D5-B8E1-48F71A97B4DB}" = Energy Management
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{BD68F46D-8A82-4664-8E68-F87C55BDEFD4}" = Microsoft SQL Server Native Client
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C580908C-B3BA-4C19-BD60-16F02F272201}" = BattleForge™
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{EB900AF8-CC61-4E15-871B-98D1EA3E8025}" = QuickTime
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"A6A8668C0A13640CA28FE2A7D9654BE4AE478B13" = Windows Driver Package - Broadcom Bluetooth  (07/30/2009 6.2.0.9405)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"B7541EC5F72AA713F557569278EB6273725F5607" = Windows Driver Package - Broadcom Bluetooth  (06/15/2009 6.2.0.9000)
"BF20603967CFDCB2BBF91950E8A56DFBC5C833FE" = Windows Driver Package - Broadcom HIDClass  (07/28/2009 6.2.0.9800)
"bwin Poker_is1" = bwin Poker
"CCleaner" = CCleaner
"CNXT_AUDIO_HDA" = Conexant HD Audio
"DEUTSCHER GENOSSENSCHAFTS_VERLAG EG JAHRESABSCHLUSS DER K 13" = Deutscher Genossenschafts-Verlag eG Jahresabschluss der K 13
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"DVDVideoSoftTB Toolbar" = DVDVideoSoftTB Toolbar
"EasyCapture4.0" = EasyCapture
"InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo OneKey Recovery
"Lidl-Fotos_is1" = Lidl-Fotos
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaMonkey_is1" = MediaMonkey 3.2
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)
"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"PC-Doctor for Windows" = PC-Doctor für Windows
"PunkBusterSvc" = PunkBuster Services
"Sea3D_is1" = Sea3D 1.2.0a
"Spyware Terminator_is1" = Spyware Terminator
"SUPER ©" = SUPER © Version 2010.bld.37 (Jan 2, 2010)
"VeriFace" = VeriFace
"VLC media player" = VLC media player 1.0.3
"WinGimp-2.0_is1" = GIMP 2.6.8
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"xp-AntiSpy" = xp-AntiSpy 3.97-7
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"WinSetupFromUSB" = WinSetupFromUSB
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 05.10.2010 03:27:54 | Computer Name = Martin-PC | Source = Google Update | ID = 20
Description =
 
Error - 05.10.2010 03:39:58 | Computer Name = Martin-PC | Source = Google Update | ID = 20
Description =
 
Error - 05.10.2010 04:39:58 | Computer Name = Martin-PC | Source = Google Update | ID = 20
Description =
 
Error - 05.10.2010 08:13:48 | Computer Name = Martin-PC | Source = Google Update | ID = 20
Description =
 
Error - 05.10.2010 08:22:29 | Computer Name = Martin-PC | Source = Google Update | ID = 20
Description =
 
Error - 05.10.2010 10:05:36 | Computer Name = Martin-PC | Source = Google Update | ID = 20
Description =
 
Error - 05.10.2010 11:05:36 | Computer Name = Martin-PC | Source = Google Update | ID = 20
Description =
 
Error - 14.10.2010 01:00:26 | Computer Name = Martin-PC | Source = VSS | ID = 8194
Description =
 
Error - 09.11.2010 06:15:01 | Computer Name = Martin-PC | Source = ESENT | ID = 215
Description = WinMail (2680) WindowsMail0: Die Sicherung wurde abgebrochen, weil
 sie vom Client angehalten wurde, oder weil die Verbindung mit dem Client unterbrochen
 wurde.
 
Error - 21.01.2011 15:53:41 | Computer Name = Martin-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Users\Martin\AppData\Local\Temp\RarSFX0\redist.dll".
Die
 abhängige Assemblierung "Microsoft.VC90.MFC,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.4148""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
[ System Events ]
Error - 13.04.2011 15:24:46 | Computer Name = Martin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Routing und RAS" ist vom Dienst "RAS-Verbindungsverwaltung"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
Error - 13.04.2011 15:40:52 | Computer Name = Martin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Netzwerklistendienst" ist vom Dienst "NLA (Network Location
 Awareness)" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:  %%0
 
Error - 13.04.2011 15:40:52 | Computer Name = Martin-PC | Source = Service Control Manager | ID = 7024
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
dienstspezifischem Fehler beendet: %%-1073741502.
 
Error - 13.04.2011 15:45:15 | Computer Name = Martin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Netzwerklistendienst" ist vom Dienst "NLA (Network Location
 Awareness)" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:  %%0
 
Error - 13.04.2011 15:45:15 | Computer Name = Martin-PC | Source = Service Control Manager | ID = 7024
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
dienstspezifischem Fehler beendet: %%-1073741502.
 
Error - 13.04.2011 15:45:35 | Computer Name = Martin-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Windows Update" wurde mit folgendem Fehler beendet:  %%-2147012892
 
Error - 13.04.2011 15:46:05 | Computer Name = Martin-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Windows Update" wurde mit folgendem Fehler beendet:  %%-2147012892
 
Error - 13.04.2011 15:46:35 | Computer Name = Martin-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Windows Update" wurde mit folgendem Fehler beendet:  %%-2147012892
 
Error - 13.04.2011 15:47:05 | Computer Name = Martin-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Windows Update" wurde mit folgendem Fehler beendet:  %%-2147012892
 
Error - 13.04.2011 15:50:18 | Computer Name = Martin-PC | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Heimnetzgruppen-Listener" wurde mit folgendem dienstspezifischem
 Fehler beendet: %%-2147023143.
 
 
< End of report >

cosinus 14.04.2011 08:47
Ich hab hier gerade Probleme das nachzuvollziehen.
Du hast behauptet SASW hätte noch was oder schon wieder was gefunden. POstest drei neue Logs aber das einzige mit Funden, nämlich das von SASW lässt du weg. Welchen Sinn ergibt das?

Trojanie 14.04.2011 11:39
Sorry, dass ich mich unverständlich ausgedrückt habe:

Ich habe ja zwei PCs, einen DesktopPC (mit XP drauf) und einen Lappy (mit Windows 7).

Der DesktopPC hat in letzter Zeit Probleme, ich glaube das liegt am Netzteil. Er hat Probleme zu starten und wenn er z.B. ganz vom Netz genommen und dann wieder drangemacht wird, macht er komplett schlapp. Gestern habe ich ihn nicht mehr zum Laufen bekommen - vorher hat er aber noch einen SuperAntiSpyware Scan geschafft und dort was gefunden! Danach konnte ich meinen DesktopPC leider nicht mehr anbekommen und lasse heute einen neues Netzteil einbauen!

Dann habe ich mich meinem Laptop zugewandt und die Systemwiederherstellung aktiviert. Jetzt will er auch wieder und ich konnte wieder ins Netz. Da ich mir nicht sicher bin, ob der Lappy auch verseucht ist habe ich Malwarebytes und OTL runterladen und dann hier gepostet.

SuperAntiSpyware lasse ich gerade auf dem Laptop auch durchlaufen. Bin aber grad auf der Arbeit, poste das Log dann heute abend, oder du sagst mir was anderes...

Weitere Malwarebyte- bzw. OTL-Logs sind nicht vorhanden!

Und entschuldige nochmal die unverständlichkeit! Ich bin ja nicht der Einzige dem du hilfst!

Trojanie 15.04.2011 04:15
Hier das SAS-Log vom Laptop:

Code:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/14/2011 bei 10:53 PM

Version der Applikation : 4.50.1002

Version der Kern-Datenbank : 6830
Version der Spur-Datenbank : 4642

Scan Art      : kompletter Scann
Totale Scann-Zeit : 00:54:20

Gescannte Speicherelemente  : 748
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 10097
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente    : 92352
Erfasste Datei-Elemente  : 0

cosinus 15.04.2011 10:09
Keine Funde. Noch Probleme?

Trojanie 15.04.2011 19:07
Eigentlich nein, aber ich hatte ja auch (aus angst) die Flashlaufwerke nicht dran. Hab den FlashDisinfector und die noautoplay.reg auf den lappy runtergeladen. Die noautoplay.reg konnte ich auch ausführen aber der flashdisinfector hat nichts gemacht (Doppelklick auf Ausführen aber es kam nichts, es wurde nur kurz geladen und dann war feierabend) ... oder muss ich zuerst ein flashlaufwerk anschließen und dann auf ausführen klicken? hab ein bischen angst, das laufwerk, wo der wurm drauf ist an den lappy anzuschließen...

Bei dem DesktopPC haben wir ja noch andere Schritte zwischendurch gemacht, wie z.B. Rootkit-Kill (TDSS) oder Combofix. Waren das vorsorgliche Maßnahmen um den PC abzusichern (was für den Lappy vielleicht auch in betracht kommt) oder muss das nur gemacht werden, wenn auch was gefunden wurde?

ach ja, das netzteil wurde jetzt in den desktop PC eingebaut. der nette herr vom PC-Service meinte bezgl. des Virus, dass die wie folgt vorgehen:
1. Backup machen (von der virenverseuchten Platte, ist besser als wenn nachher alles weg ist)
2. Systemwiederherstellung deaktivieren (hat zur Folge dass alle Wiederherstellungspunkte gelöscht werden, Sinn: wenn Viren im system gefunden werden und die dateien gelöscht werden, zieht sich windows beim nächsten start die fehlende verseuchte datei aus der systemwiederherstellung und ich hab den wurm wieder drauf!)
3. rescue-CDs von antivierenprogrammherstellern erstellen (Antivir-Rescue CD, Kaspersky Rescue CD und vielleicht noch ein anderes)
4. über die Rescue-CDs booten, Virendefinitionen updaten, sämtliche Flashlaufwerke anschließen und Virenscan durchlaufen lassen.

Was hälst du von dem Vorgehen?

Ich werde jetzt aber erst einmal noch Malwarebytes und SAS Vollscans auf dem Desktop-PC machen und sämliche Flashlaufwerke dabei anschließen, mal schauen, was dabei rumkommt...

cosinus 15.04.2011 20:43
Die noautoplay.reg ist eigentlich nur für WinXP gedacht. Ab Vista kann man alles komfortabel in der Systemsteuerung abstellen => Einstellungen für automatische Wiedergabe ändern

Zitat:
1. Backup machen (von der virenverseuchten Platte, ist besser als wenn nachher alles weg ist)
:daumenhoc

Zitat:
2. Systemwiederherstellung deaktivieren (hat zur Folge dass alle Wiederherstellungspunkte gelöscht werden, Sinn: wenn Viren im system gefunden werden und die dateien gelöscht werden, zieht sich windows beim nächsten start die fehlende verseuchte datei aus der systemwiederherstellung und ich hab den wurm wieder drauf!)
Eigentlich :daumenhoc
Aber deaktivieren kann man die später noch, falls was schiefgeht

Zitat:
3. rescue-CDs von antivierenprogrammherstellern erstellen (Antivir-Rescue CD, Kaspersky Rescue CD und vielleicht noch ein anderes)
4. über die Rescue-CDs booten, Virendefinitionen updaten, sämtliche Flashlaufwerke anschließen und Virenscan durchlaufen lassen.

Im Prinzip nicht falsch, aber Virescanner richten allein das Problem meistens nicht.

Trojanie 19.04.2011 13:38
So, hab jetzt auch mal die Rescue-CDs durchlaufen lassen und Malwarebytes und SAS. Keine Funde außer ein Spyware Produkt (War ein alter Bildschirmschoner, der das Surfverhalten ausspäht aber keinen sonstigen Schaden anrichtet. - Kaspersky hat ihn gefunden.) Danach waren auch die Laufwerke alle mit flashdisinfector geimpft, das scheint kaspersky rescue disk gleich mit zu erledigen.

Das Problem mit dem Nichtausführen von Programmen besteht teilweise noch (Fehlermeldung: Auf das angegebene Gerät kann nicht zugegriffen werden, sie verfügen evtl. nicht über ausreichende berechtigung, um auf das Element zugreifen zu können.). Unter einem anderen Benutzer mit Adminrechten habe ich aber keine Probleme. Will aber ja nicht meinen normalen Adminnutzer löschen... Aber ich glaub die rechner sind sauber und da ist das das geringste problem. Muss dann wohl noch ein bisserl googeln ...


VIELEN VIELEN DANK!!! :dankeschoen:


Edit: Ich glaub das Problem liegt an den Sicherheitseinstellungen für "Internet" - da hab ich die höchste Sicherheitsstufe gesetzt. Beim Googeln gefunden, wird heute abend ausprobiert!

Trojanie 19.04.2011 18:08
Richtige Vermutung: Die Meldung kommt, wenn man die Sicherheitsstufe unter XP im Sicherheitscenter -> Internetoptionen auf "Hoch" stellt. Gilt dann für zuvor runtergeladene anwendungen. Stellt man auf Mittel kommt die Meldung nicht mehr!

Closed!


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131