Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   worm/trojana entfernen (https://www.trojaner-board.de/88803-worm-trojana-entfernen.html)

~°°~ 28.07.2010 16:21
worm/trojana entfernen
 
hi

ich habe ein kleines netzwerk und da ist irgendwo ein worm reingekommen ... nun weis ich leider nicht welcher das ist um ihn richtig zu entfernen nun wollte ich fragen ob jemand vlt nen universal anti worm hat bzw mir vlt sagen kann was das für einer ist kann nur die gefundenen scans posten:

alle pc´s haben win xp pro sp3

avira antivir:
Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TL6TVBJG\dqiqiu[1].jpg'
Trojanische Pferd TR/Buzus.dgkb

Avast:
system32\Comclg16.dll win32:trojan-gen
system32\winadm.exe win32:trojan-gen
system32\winadm.exe win32:trojan-gen
win32:malware-gen

jezt habe ich auf allen pc´s avira und avast installiert und gescant bis jezt hat sich der virus nicht gemeldet
mein prob ist jezt das ich nicht weis ob der virus wircklich weg ist....
(wen nicht wie soll ich voregehen bzw überprüfen)
bzw ich würde gerne ein antivirus löschen da 2stk die pc´s tottal lamarschig machen

Edit: der verus hat sich wieder gemeldet >.<

cosinus 29.07.2010 15:20
Zitat:
jezt habe ich auf allen pc´s avira und avast installiert
Sowas macht man nicht. Avira und Avast beißen sich! Deinstallier einen der beiden!

Bitte auch einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

~°°~ 29.07.2010 21:10
Extras:
Code:
OTL Extras logfile created on: 29.07.2010 22:03:14 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = D:\4U
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 597,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): G:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = G: | %SystemRoot% = G:\WINXP | %ProgramFiles% = G:\Programme
C: Drive not present or media not loaded
Drive D: | 882,68 Gb Total Space | 612,41 Gb Free Space | 69,38% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 48,83 Gb Total Space | 35,88 Gb Free Space | 73,49% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: SERVER
Current User Name: ~°°~
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.exe [@ = xefile] -- G:\WINXP\System32\Regsvr16.exe ()
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- G:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "G:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "G:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- G:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 1
"FirewallOverride" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"9058:TCP" = 9058:TCP:*:Enabled:nfmwvvin
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"G:\Programme\Windows Live\Messenger\livecall.exe" = G:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone) -- (Microsoft Corporation)
"G:\Programme\FlashFXP\FlashFXP.exe" = G:\Programme\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3 -- (IniCom Networks, Inc.)
"G:\WINXP\system32\wmxperd.exe" = G:\WINXP\system32\wmxperd.exe:*:Enabled:LAN Router -- File not found
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"G:\Programme\Windows Live\Messenger\livecall.exe" = G:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone) -- (Microsoft Corporation)
"G:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = G:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"G:\Programme\Microsoft Office\Office12\GROOVE.EXE" = G:\Programme\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove -- (Microsoft Corporation)
"G:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = G:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"G:\Programme\FlashFXP\FlashFXP.exe" = G:\Programme\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3 -- (IniCom Networks, Inc.)
"G:\Programme\ICQ6.5\ICQ.exe" = G:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"G:\WINXP\system32\wmxperd.exe" = G:\WINXP\system32\wmxperd.exe:*:Enabled:LAN Router -- File not found
"D:\Steam\steamapps\common\aliens vs predator dedicated server\AvP_CLI.exe" = D:\Steam\steamapps\common\aliens vs predator dedicated server\AvP_CLI.exe:*:Enabled:Aliens vs Predator Dedicated Server -- File not found
"G:\Programme\uTorrent\uTorrent.exe" = G:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 15
"{2B091530-69AA-442E-AB09-39ED06B58220}" = Windows Live Messenger
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8AEA4BE2-2B52-41C0-BB7D-9F2D17AF1031}" = Nero 8
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{96E3AED5-3D0B-4BB0-84C2-1EDADB204487}" = FlashFXP v3
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{C9E91711-8600-4919-AEF0-D4821F886797}_is1" = Gigaflat
"{CF49A5C4-E09A-4A22-BE7B-E42C687952BC}" = O&O Defrag Professional
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"ENTERPRISE" = Microsoft Office Enterprise 2007
"ImgBurn" = ImgBurn
"JDownloader" = JDownloader
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Mozilla Firefox (3.5.11)" = Mozilla Firefox (3.5.11)
"NVIDIA Drivers" = NVIDIA Drivers
"uTorrent" = µTorrent
"WinRAR archiver" = WinRAR archiver
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ System Events ]
Error - 28.07.2010 17:21:22 | Computer Name = SERVER | Source = TermServDevices | ID = 1111
Description = Der für den Drucker CD 1025 / DC 2025 erforderliche Treiber CD 1025
 / DC 2025 ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu
 installieren, bevor Sie sich erneut anmelden.
 
Error - 28.07.2010 20:08:29 | Computer Name = SERVER | Source = TermServDevices | ID = 1111
Description = Der für den Drucker CD 1025 / DC 2025 erforderliche Treiber CD 1025
 / DC 2025 ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu
 installieren, bevor Sie sich erneut anmelden.
 
Error - 28.07.2010 20:31:06 | Computer Name = SERVER | Source = TermServDevices | ID = 1111
Description = Der für den Drucker CD 1025 / DC 2025 erforderliche Treiber CD 1025
 / DC 2025 ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu
 installieren, bevor Sie sich erneut anmelden.
 
Error - 29.07.2010 12:16:56 | Computer Name = SERVER | Source = TermServDevices | ID = 1111
Description = Der für den Drucker CD 1025 / DC 2025 erforderliche Treiber CD 1025
 / DC 2025 ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu
 installieren, bevor Sie sich erneut anmelden.
 
Error - 29.07.2010 13:09:57 | Computer Name = SERVER | Source = TermServDevices | ID = 1111
Description = Der für den Drucker CD 1025 / DC 2025 erforderliche Treiber CD 1025
 / DC 2025 ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu
 installieren, bevor Sie sich erneut anmelden.
 
Error - 29.07.2010 13:17:07 | Computer Name = SERVER | Source = TermServDevices | ID = 1111
Description = Der für den Drucker CD 1025 / DC 2025 erforderliche Treiber CD 1025
 / DC 2025 ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu
 installieren, bevor Sie sich erneut anmelden.
 
Error - 29.07.2010 14:42:35 | Computer Name = SERVER | Source = TermServDevices | ID = 1111
Description = Der für den Drucker CD 1025 / DC 2025 erforderliche Treiber CD 1025
 / DC 2025 ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu
 installieren, bevor Sie sich erneut anmelden.
 
Error - 29.07.2010 15:59:37 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Manager Helper" wurde mit folgendem Fehler beendet:  %%126
 
Error - 29.07.2010 15:59:37 | Computer Name = SERVER | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  atapi  PCIIde
 
Error - 29.07.2010 16:00:12 | Computer Name = SERVER | Source = TermServDevices | ID = 1111
Description = Der für den Drucker CD 1025 / DC 2025 erforderliche Treiber CD 1025
 / DC 2025 ist unbekannt. Wenden Sie sich an den Administrator, um den Treiber zu
 installieren, bevor Sie sich erneut anmelden.
 
 
< End of report >
OLT:
Code:
OTL logfile created on: 29.07.2010 22:03:14 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = D:\4U
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 597,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): G:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = G: | %SystemRoot% = G:\WINXP | %ProgramFiles% = G:\Programme
C: Drive not present or media not loaded
Drive D: | 882,68 Gb Total Space | 612,41 Gb Free Space | 69,38% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 48,83 Gb Total Space | 35,88 Gb Free Space | 73,49% Space Free | Partition Type: NTFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: SERVER
Current User Name: ~°°~
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - D:\4U\OTL.exe (OldTimer Tools)
PRC - G:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - G:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - G:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - G:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - G:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - G:\WINXP\system32\oodag.exe (O&O Software GmbH)
PRC - G:\WINXP\system32\oodtray.exe (O&O Software GmbH)
PRC - G:\WINXP\system32\winadm.exe (Müller)
PRC - G:\WINXP\explorer.exe (Microsoft Corporation)
PRC - G:\WINXP\system32\rdpclip.exe (Microsoft Corporation)
PRC - G:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe (Nero AG)
PRC - G:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG)
PRC - G:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe (Nero AG)
PRC - G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (Rocket Division Software)
PRC - G:\WINXP\system32\nvraidservice.exe (NVIDIA Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - D:\4U\OTL.exe (OldTimer Tools)
MOD - G:\WINXP\system32\msscript.ocx (Microsoft Corporation)
MOD - G:\WINXP\system32\winsta.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- G:\WINXP\System32\hidserv.dll File not found
SRV - (AntiVirService) -- G:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (aspnet_state) -- G:\WINXP\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe (Microsoft Corporation)
SRV - (WPFFontCache_v0400) -- G:\WINXP\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- G:\WINXP\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (AntiVirSchedulerService) -- G:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (O&O Defrag) -- G:\WINXP\system32\oodag.exe (O&O Software GmbH)
SRV - (usnjsvc) -- G:\Programme\Windows Live\Messenger\usnsvc.exe (Microsoft Corporation)
SRV - (NMIndexingService) -- G:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG)
SRV - (odserv) -- G:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- G:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (StarWindService) -- G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (Rocket Division Software)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (sptd) -- G:\WINXP\System32\Drivers\sptd.sys ()
DRV - (avipbb) -- G:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- G:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (vaxscsi) -- G:\WINXP\System32\Drivers\vaxscsi.sys ()
DRV - (avgio) -- G:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- G:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (gameenum) -- G:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (nv) -- G:\WINXP\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (nvraid) NVIDIA NForce(tm) -- G:\WINXP\system32\DRIVERS\nvraid.sys (NVIDIA Corporation)
DRV - (nvatabus) -- G:\WINXP\system32\DRIVERS\nvatabus.sys (NVIDIA Corporation)
DRV - (nvnetbus) -- G:\WINXP\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- G:\WINXP\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (nv_agp) -- G:\WINXP\system32\DRIVERS\nv_agp.sys (NVIDIA Corporation)
DRV - (sfman) Creative-SoundFont-Verwaltungstreiber (WDM) -- G:\WINXP\system32\drivers\sfmanm.sys (Creative Technology Ltd.)
DRV - (emu10k1) Creative-Schnittstellen-Verwaltungstreiber (WDM) -- G:\WINXP\system32\drivers\ctlfacem.sys (Creative Technology Ltd.)
DRV - (emu10k) Creative SB Live! (WDM) -- G:\WINXP\system32\drivers\emu10k1m.sys (Creative Technology Ltd.)
DRV - (ctljystk) -- G:\WINXP\system32\drivers\ctljystk.sys (Creative Technology Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = G:\WINXP\system32\blank.htm
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.11\extensions\\Components: G:\Programme\Mozilla Firefox\components [2010.07.26 19:05:24 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.11\extensions\\Plugins: G:\Programme\Mozilla Firefox\plugins [2010.07.22 21:45:08 | 000,000,000 | ---D | M]
 
[2009.07.12 16:22:36 | 000,000,000 | ---D | M] -- G:\Dokumente und Einstellungen\~°°~\Anwendungsdaten\Mozilla\Extensions
[2009.07.12 16:22:36 | 000,000,000 | ---D | M] -- G:\Dokumente und Einstellungen\~°°~\Anwendungsdaten\Mozilla\Firefox\Profiles\g12y59fi.default\extensions
[2010.07.29 02:18:35 | 000,000,000 | ---D | M] -- G:\Programme\Mozilla Firefox\extensions
[2009.11.24 17:40:09 | 000,001,392 | ---- | M] () -- G:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.11.24 17:40:09 | 000,002,344 | ---- | M] () -- G:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.11.24 17:40:09 | 000,006,805 | ---- | M] () -- G:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.11.24 17:40:09 | 000,001,178 | ---- | M] () -- G:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.11.24 17:40:09 | 000,000,801 | ---- | M] () -- G:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.02.24 14:23:03 | 004,189,573 | ---- | M]) - G:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 52.251.226.107        msnfix.changelog.fr
O1 - Hosts: 52.251.226.107        www.incodesolutions.com
O1 - Hosts: 52.251.226.107        virusinfo.prevx.com
O1 - Hosts: 52.251.226.107        download.bleepingcomputer.com
O1 - Hosts: 52.251.226.107        www.dazhizhu.cn
O1 - Hosts: 52.251.226.107        foro.noticias3d.com
O1 - Hosts: 52.251.226.107        www.spybotupdates.com
O1 - Hosts: 52.251.226.107        club.myce.com
O1 - Hosts: 52.251.226.107        www.k7computing.com
O1 - Hosts: 52.251.226.107        softwaresecuritysolutions.com
O1 - Hosts: 52.251.226.107        www.nabble.com
O1 - Hosts: 52.251.226.107        lurker.clamav.net
O1 - Hosts: 52.251.226.107        lexikon.ikarus.at
O1 - Hosts: 52.251.226.107        research.sunbelt-software.com
O1 - Hosts: 52.251.226.107        www.virusdoctor.jp
O1 - Hosts: 52.251.226.107        www.elitepvpers.de
O1 - Hosts: 52.251.226.107        downloads.sophos.com
O1 - Hosts: 52.251.226.107        share.skype.com
O1 - Hosts: 52.251.226.107        myantispyware.com
O1 - Hosts: 52.251.226.107        www.computerhilfen.de
O1 - Hosts: 52.251.226.107        www.superuser.co.kr
O1 - Hosts: 52.251.226.107        ntfaq.co.kr
O1 - Hosts: 52.251.226.107        v.dreamwiz.com
O1 - Hosts: 52.251.226.107        cit.kookmin.ac.kr
O1 - Hosts: 52.251.226.107        forums.whatthetech.com
O1 - Hosts: 14289 more lines...
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - G:\Programme\AVG\AVG9\avgssie.dll File not found
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (FlashFXP Helper for Internet Explorer) - {E5A1691B-D188-4419-AD02-90002030B8EE} - G:\Programme\FlashFXP\IEFlash.dll (IniCom Networks, Inc.)
O4 - HKLM..\Run: [_winadm] G:\WINXP\system32\winadm.exe (Müller)
O4 - HKLM..\Run: [avgnt] G:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] G:\WINXP\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] G:\WINXP\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NVRaidService] G:\WINXP\system32\nvraidservice.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] G:\WINXP\System32\nwiz.exe ()
O4 - HKLM..\Run: [OODefragTray] G:\WINXP\system32\oodtray.exe (O&O Software GmbH)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] G:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe (Nero AG)
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives =  [binary data]
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - G:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - G:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - G:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - G:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - G:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - G:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - G:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - G:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - G:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - G:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - G:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - G:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - G:\WINXP\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: G:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: G:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - G:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{58a26c56-ec9d-11de-a3cf-00138fbb2326}\Shell - "" = AutoRun
O33 - MountPoints2\{58a26c56-ec9d-11de-a3cf-00138fbb2326}\Shell\AutoRun - "" = Auto&Play
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (OODBS) - G:\WINXP\System32\OODBS.exe (O&O Software GmbH)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = xefile] -- "G:\WINXP\system32\Regsvr16.exe" "%1" %* ()
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.29 22:00:24 | 000,000,000 | ---D | C] -- G:\Dokumente und Einstellungen\~°°~\Anwendungsdaten\Malwarebytes
[2010.07.29 21:16:03 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- G:\WINXP\System32\drivers\mbamswissarmy.sys
[2010.07.29 21:16:01 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- G:\WINXP\System32\drivers\mbam.sys
[2010.07.29 21:16:01 | 000,000,000 | ---D | C] -- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.29 21:16:00 | 000,000,000 | ---D | C] -- G:\Programme\Malwarebytes' Anti-Malware
[2010.07.29 18:27:15 | 000,000,000 | ---D | C] -- G:\WinSetupFromUSB
[2010.07.29 18:21:04 | 000,000,000 | ---D | C] -- G:\WINXPCD
[2010.07.26 19:13:24 | 000,000,000 | -HSD | C] -- G:\Config.Msi
[2010.07.26 19:12:40 | 000,000,000 | ---D | C] -- G:\Programme\Alwil Software
[2010.07.26 19:12:40 | 000,000,000 | ---D | C] -- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software
[2010.07.25 18:51:17 | 000,124,784 | ---- | C] (Avira GmbH) -- G:\WINXP\System32\drivers\avipbb.sys
[2010.07.25 18:51:17 | 000,028,520 | ---- | C] (Avira GmbH) -- G:\WINXP\System32\drivers\ssmdrv.sys
[2010.07.25 18:51:16 | 000,060,936 | ---- | C] (Avira GmbH) -- G:\WINXP\System32\drivers\avgntflt.sys
[2010.07.25 18:51:16 | 000,045,416 | ---- | C] (Avira GmbH) -- G:\WINXP\System32\drivers\avgntdd.sys
[2010.07.25 18:51:16 | 000,022,360 | ---- | C] (Avira GmbH) -- G:\WINXP\System32\drivers\avgntmgr.sys
[2010.07.25 18:51:16 | 000,000,000 | ---D | C] -- G:\Programme\Avira
[2010.07.25 18:51:16 | 000,000,000 | ---D | C] -- G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.07.25 18:50:50 | 000,046,080 | ---- | C] (Microsoft) -- G:\Dokumente und Einstellungen\All Users\Desktop\IWNetServer.exe
[2010.07.25 18:50:49 | 000,000,000 | ---D | C] -- G:\Dokumente und Einstellungen\All Users\Desktop\Programme
[2010.07.20 23:06:33 | 000,000,000 | ---D | C] -- G:\WINXP\Sun
[2010.07.12 20:46:12 | 000,000,000 | ---D | C] -- G:\Programme\uTorrent
[2010.07.12 20:45:47 | 000,000,000 | ---D | C] -- G:\Dokumente und Einstellungen\~°°~\Anwendungsdaten\uTorrent
[2010.07.05 17:32:18 | 000,000,000 | ---D | C] -- G:\WINXP\System32\XPSViewer
[2010.07.05 17:32:12 | 000,000,000 | ---D | C] -- G:\Programme\Reference Assemblies
[2010.07.05 17:31:46 | 000,014,048 | ---- | C] (Microsoft Corporation) -- G:\WINXP\System32\spmsg2.dll
[2010.07.05 17:22:17 | 000,046,080 | ---- | C] (Microsoft) -- G:\Dokumente und Einstellungen\~°°~\Desktop\IWNetServer.exe
[3 G:\WINXP\*.tmp files -> G:\WINXP\*.tmp -> ]
[1 G:\WINXP\System32\*.tmp files -> G:\WINXP\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.29 21:58:03 | 000,000,006 | -H-- | M] () -- G:\WINXP\tasks\SA.DAT
[2010.07.29 21:58:02 | 000,002,206 | ---- | M] () -- G:\WINXP\System32\wpa.dbl
[2010.07.29 21:57:58 | 000,002,048 | --S- | M] () -- G:\WINXP\bootstat.dat
[2010.07.29 21:57:50 | 1073,008,640 | -HS- | M] () -- G:\hiberfil.sys
[2010.07.29 21:57:48 | 000,040,857 | ---- | M] () -- G:\WINXP\System32\oodbs.lor
[2010.07.29 21:16:06 | 000,000,701 | ---- | M] () -- G:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.29 21:15:05 | 000,002,953 | ---- | M] () -- G:\WINXP\System32\CONFIG.NT
[2010.07.27 20:12:32 | 000,000,664 | ---- | M] () -- G:\WINXP\System32\d3d9caps.dat
[2010.07.26 19:15:53 | 000,685,816 | ---- | M] () -- G:\WINXP\System32\drivers\sptd.sys
[2010.07.25 18:51:24 | 000,001,684 | ---- | M] () -- G:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.07.25 18:42:16 | 001,835,008 | ---- | M] () -- G:\Dokumente und Einstellungen\~°°~\NTUSER.DAT
[2010.07.25 18:42:05 | 000,000,190 | -HS- | M] () -- G:\Dokumente und Einstellungen\~°°~\ntuser.ini
[2010.07.25 18:41:54 | 002,807,986 | -H-- | M] () -- G:\Dokumente und Einstellungen\~°°~\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.13 19:30:21 | 000,000,089 | ---- | M] () -- G:\Dokumente und Einstellungen\~°°~\Desktop\iw4mp.cfg
[2010.07.12 20:46:15 | 000,000,617 | ---- | M] () -- G:\Dokumente und Einstellungen\All Users\Desktop\µTorrent.lnk
[2010.07.05 19:23:10 | 000,267,800 | ---- | M] () -- G:\WINXP\System32\FNTCACHE.DAT
[2010.07.05 18:11:49 | 000,000,203 | ---- | M] () -- G:\Dokumente und Einstellungen\~°°~\Desktop\Aliens vs Predator Dedicated Server - Beta.url
[2010.07.05 17:33:08 | 001,204,682 | ---- | M] () -- G:\WINXP\System32\PerfStringBackup.INI
[2010.07.05 17:33:08 | 000,515,954 | ---- | M] () -- G:\WINXP\System32\perfh007.dat
[2010.07.05 17:33:08 | 000,492,864 | ---- | M] () -- G:\WINXP\System32\perfh009.dat
[2010.07.05 17:33:08 | 000,100,300 | ---- | M] () -- G:\WINXP\System32\perfc007.dat
[2010.07.05 17:33:08 | 000,083,386 | ---- | M] () -- G:\WINXP\System32\perfc009.dat
[3 G:\WINXP\*.tmp files -> G:\WINXP\*.tmp -> ]
[1 G:\WINXP\System32\*.tmp files -> G:\WINXP\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.29 21:16:06 | 000,000,701 | ---- | C] () -- G:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.25 18:51:24 | 000,001,684 | ---- | C] () -- G:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.07.13 19:30:20 | 000,000,089 | ---- | C] () -- G:\Dokumente und Einstellungen\~°°~\Desktop\iw4mp.cfg
[2010.07.12 20:46:14 | 000,000,617 | ---- | C] () -- G:\Dokumente und Einstellungen\All Users\Desktop\µTorrent.lnk
[2010.07.05 18:11:49 | 000,000,203 | ---- | C] () -- G:\Dokumente und Einstellungen\~°°~\Desktop\Aliens vs Predator Dedicated Server - Beta.url
[2010.07.05 17:33:00 | 000,156,864 | ---- | C] () -- G:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.11.05 10:09:32 | 000,000,000 | ---- | C] () -- G:\WINXP\System32\Mswinmask32.dll
[2009.07.13 22:30:48 | 000,000,049 | ---- | C] () -- G:\WINXP\NeroDigital.ini
[2009.07.12 16:43:43 | 000,223,128 | ---- | C] () -- G:\WINXP\System32\drivers\vaxscsi.sys
[2009.07.12 16:40:24 | 000,685,816 | ---- | C] () -- G:\WINXP\System32\drivers\sptd.sys
[2007.12.04 23:11:00 | 001,703,936 | ---- | C] () -- G:\WINXP\System32\nvwdmcpl.dll
[2007.12.04 23:11:00 | 001,474,560 | ---- | C] () -- G:\WINXP\System32\nview.dll
[2007.12.04 23:11:00 | 001,019,904 | ---- | C] () -- G:\WINXP\System32\nvwimg.dll
[2007.12.04 23:11:00 | 000,466,944 | ---- | C] () -- G:\WINXP\System32\nvshell.dll
[2007.12.04 23:11:00 | 000,286,720 | ---- | C] () -- G:\WINXP\System32\nvnt4cpl.dll
[2004.06.02 09:41:14 | 000,039,936 | ---- | C] () -- G:\WINXP\System32\dwlGina2.dll
< End of report >

cosinus 29.07.2010 21:18
Ich wollte eigentlich erst den Vollscan von Malwarebytes sehen.

~°°~ 29.07.2010 21:22
oh sry habe... habe gescant und die sahen gelöscht also das was er gefunden hat ....
aber np in paar std mache ich mich an die anderen pc´s von daher kann ich dir ein neune posten wen du es noch haben willst

cosinus 29.07.2010 21:26
Zitat:
oh sry habe... habe gescant und die sahen gelöscht also das was er gefunden hat ....
Dann poste das Logs, also alle von Malwarebytes!
Findest Du im Programm unter dem Reiter Logdateien bzw. Scan-Berichte

~°°~ 29.07.2010 21:31
da ist leider keins .. oO nach dem scan wollte er neuestart was ich auch getan habe und wen ich jezt im programm unter logs gehe ist da nix wie gesgat in paar std mache ich mich an die anderen ps´s ran dan kann ich die von da posten sind ja alle in einem netzwerk von daher sollten die vom ding her die selben viren haben

cosinus 29.07.2010 21:33
Das kann nicht sein! Die Logs werden da immer abgelegt! Stell sicher, dass Du da auch Malwarebytes auf hast und in der richtigen Rubrik nachschaust!

~°°~ 29.07.2010 21:58
Liste der Anhänge anzeigen (Anzahl: 1)
da screen im anhang

cosinus 29.07.2010 22:13
Sag nicht die hast Du gelöscht :balla:

~°°~ 29.07.2010 22:17
nein habe ich nicht liegt aber vlt daran der der server rum spakt und nichtma mein normales profiel laden will gehe per windoff remot rein
und wen den neue starte sehe ich nichtma bei forefox mein chronik al ob ich da nie irgendwas benuzt häte oO naja tut nix zusahe ist halt so kann man nicht ändern werde bald die anderen pc´s machen poste dan die sahen

cosinus 30.07.2010 14:05
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
O4 - HKLM..\Run: [_winadm] G:\WINXP\system32\winadm.exe (Müller)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{58a26c56-ec9d-11de-a3cf-00138fbb2326}\Shell - "" = AutoRun
O33 - MountPoints2\{58a26c56-ec9d-11de-a3cf-00138fbb2326}\Shell\AutoRun - "" = Auto&Play
O37 - HKLM\...exe [@ = xefile] -- "G:\WINXP\system32\Regsvr16.exe" "%1" %* ()
2010.07.05 17:22:17 | 000,046,080 | ---- | C] (Microsoft) -- G:\Dokumente und Einstellungen\~°°~\Desktop\IWNetServer.exe
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

~°°~ 02.08.2010 20:22
Code:
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\_winadm deleted successfully.
Invalid CLSID key: _winadm
G:\WINXP\system32\winadm.exe moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{58a26c56-ec9d-11de-a3cf-00138fbb2326}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{58a26c56-ec9d-11de-a3cf-00138fbb2326}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{58a26c56-ec9d-11de-a3cf-00138fbb2326}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{58a26c56-ec9d-11de-a3cf-00138fbb2326}\ not found.
HKEY_LOCAL_MACHINE\Software\Classes\.exe\shell\open\command\\|"%1" %* /E : value set successfully!
HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!
========== COMMANDS ==========
G:\WINXP\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
 
User: All Users
 
User: CT
->Temp folder emptied: 17914484 bytes
->Temporary Internet Files folder emptied: 1153867 bytes
->FireFox cache emptied: 72590980 bytes
->Flash cache emptied: 564 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ~°°~
->Temp folder emptied: 87531204 bytes
->Temporary Internet Files folder emptied: 419701 bytes
->Java cache emptied: 25493434 bytes
->FireFox cache emptied: 42834333 bytes
->Flash cache emptied: 1800 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 30459572 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 268,00 mb
 
 
OTL by OldTimer - Version 3.2.9.1 log created on 08022010_211049

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 03.08.2010 14:37
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:[indent]Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

~°°~ 04.08.2010 20:49
Code:
ComboFix 10-08-04.02 - ~°°~ 04.08.2010  21:42:28.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.688 [GMT 2:00]
ausgeführt von:: g:\dokumente und einstellungen\~°°~\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

g:\winxp\system32\zip32.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-04 bis 2010-08-04  ))))))))))))))))))))))))))))))
.

2010-08-04 19:22 . 2010-08-04 19:22        --------        d-----w-        g:\programme\CCleaner
2010-07-29 20:00 . 2010-07-29 20:00        --------        d-----w-        g:\dokumente und einstellungen\~°°~\Anwendungsdaten\Malwarebytes
2010-07-29 19:16 . 2010-04-29 10:19        38224        ----a-w-        g:\winxp\system32\drivers\mbamswissarmy.sys
2010-07-29 19:16 . 2010-07-29 19:16        --------        d-----w-        g:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-29 19:16 . 2010-04-29 10:19        20952        ----a-w-        g:\winxp\system32\drivers\mbam.sys
2010-07-29 19:16 . 2010-07-29 19:16        --------        d-----w-        g:\programme\Malwarebytes' Anti-Malware
2010-07-29 16:27 . 2010-07-29 18:42        --------        d-----w-        G:\WinSetupFromUSB
2010-07-29 16:21 . 2010-07-29 16:26        --------        d-----w-        G:\WINXPCD
2010-07-26 17:12 . 2010-07-26 17:12        --------        d-----w-        g:\programme\Alwil Software
2010-07-26 17:12 . 2010-07-26 17:12        --------        d-----w-        g:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software
2010-07-25 16:51 . 2010-03-01 08:05        124784        ----a-w-        g:\winxp\system32\drivers\avipbb.sys
2010-07-25 16:51 . 2010-07-25 16:51        --------        d-----w-        g:\programme\Avira
2010-07-25 16:51 . 2010-07-25 16:51        --------        d-----w-        g:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-07-25 16:51 . 2010-02-16 12:24        60936        ----a-w-        g:\winxp\system32\drivers\avgntflt.sys
2010-07-25 16:51 . 2009-05-11 10:49        45416        ----a-w-        g:\winxp\system32\drivers\avgntdd.sys
2010-07-25 16:51 . 2009-05-11 10:49        22360        ----a-w-        g:\winxp\system32\drivers\avgntmgr.sys
2010-07-20 21:06 . 2010-07-20 21:06        --------        d-----w-        g:\winxp\Sun
2010-07-12 18:46 . 2010-07-12 18:46        --------        d-----w-        g:\programme\uTorrent
2010-07-12 18:45 . 2010-07-13 17:57        --------        d-----w-        g:\dokumente und einstellungen\~°°~\Anwendungsdaten\uTorrent

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-27 18:12 . 2009-10-31 12:22        664        ----a-w-        g:\winxp\system32\d3d9caps.dat
2010-07-26 20:23 . 2009-10-31 12:21        --------        d-----w-        g:\programme\JDownloader
2010-07-26 17:15 . 2009-07-12 14:40        685816        ----a-w-        g:\winxp\system32\drivers\sptd.sys
2010-07-25 15:32 . 2009-12-22 21:22        --------        d-----w-        g:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-07-05 15:33 . 2008-04-14 12:00        515954        ----a-w-        g:\winxp\system32\perfh007.dat
2010-07-05 15:33 . 2008-04-14 12:00        100300        ----a-w-        g:\winxp\system32\perfc007.dat
2010-07-05 15:33 . 2010-07-05 15:33        156864        ----a-w-        g:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-07-05 15:32 . 2009-07-12 14:37        --------        d-----w-        g:\programme\MSBuild
2010-07-05 15:32 . 2010-07-05 15:32        --------        d-----w-        g:\programme\Reference Assemblies
2001-02-08 13:52 . 2001-02-08 13:52        24576        --sha-w-        g:\winxp\system32\comsysh.exe
.

------- Sigcheck -------

[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . g:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="g:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"="g:\winxp\system32\nvraidservice.exe" [2004-06-11 83968]
"GrooveMonitor"="g:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NvCplDaemon"="g:\winxp\system32\NvCpl.dll" [2007-12-04 8523776]
"nwiz"="nwiz.exe" [2007-12-04 1626112]
"NvMediaCenter"="g:\winxp\system32\NvMcTray.dll" [2007-12-04 81920]
"OODefragTray"="g:\winxp\system32\oodtray.exe" [2009-02-25 2553088]
"avgnt"="g:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="g:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-10-18 07:04        5724184        ----a-w-        g:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2007-08-08 04:55        1828136        ----a-w-        g:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 11:27        153136        ----a-w-        g:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"g:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"g:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"g:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"g:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"g:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"g:\\Programme\\FlashFXP\\FlashFXP.exe"=
"g:\\Programme\\ICQ6.5\\ICQ.exe"=
"g:\\Programme\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"9058:TCP"= 9058:TCP:nfmwvvin

R2 AntiVirSchedulerService;Avira AntiVir Planer;g:\programme\Avira\AntiVir Desktop\sched.exe [25.07.2010 18:51 135336]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;g:\winxp\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 qkzjm;Manager Helper;g:\winxp\system32\svchost.exe -k netsvcs [14.04.2008 14:00 14336]
S3 vaxscsi;vaxscsi;g:\winxp\system32\drivers\vaxscsi.sys [12.07.2009 16:43 223128]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;g:\winxp\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;g:\winxp\system32\drivers\sptd.sys [12.07.2009 16:40 685816]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
qkzjm
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - g:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {4AC37823-C7FB-4D41-B44A-9BBF124D7A85} = 192.168.3.1
FF - ProfilePath - g:\dokumente und einstellungen\~°°~\Anwendungsdaten\Mozilla\Firefox\Profiles\g12y59fi.default\

---- FIREFOX Richtlinien ----
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
g:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
g:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
g:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
g:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-04 21:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
.
Zeit der Fertigstellung: 2010-08-04  21:47:53
ComboFix-quarantined-files.txt  2010-08-04 19:47

Vor Suchlauf: 10 Verzeichnis(se), 38.659.489.792 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 38.520.147.968 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
g:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 856AECC84F7D4E95E72BFD35654F91FE

cosinus 05.08.2010 16:03
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
File::
g:\winxp\system32\comsysh.exe

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-
"9058:TCP"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
"DisableUnicastResponsesToMulticastBroadcast"=-

NetSvc::
qkzjm

Driver::
qkzjm
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

~°°~ 10.08.2010 17:49
Code:
ComboFix 10-08-04.02 - ~°°~ 08.08.2010  4:59.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.715 [GMT 2:00]
ausgeführt von:: g:\dokumente und einstellungen\~°°~\Desktop\cofi.exe
Benutzte Befehlsschalter :: g:\dokumente und einstellungen\~°°~\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"g:\winxp\system32\comsysh.exe"
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

g:\winxp\system32\comsysh.exe

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_QKZJM
-------\Service_qkzjm


(((((((((((((((((((((((  Dateien erstellt von 2010-07-10 bis 2010-08-10  ))))))))))))))))))))))))))))))
.

2010-08-04 19:22 . 2010-08-04 19:22        --------        d-----w-        g:\programme\CCleaner
2010-07-29 20:00 . 2010-07-29 20:00        --------        d-----w-        g:\dokumente und einstellungen\~°°~\Anwendungsdaten\Malwarebytes
2010-07-29 19:16 . 2010-04-29 10:19        38224        ----a-w-        g:\winxp\system32\drivers\mbamswissarmy.sys
2010-07-29 19:16 . 2010-07-29 19:16        --------        d-----w-        g:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-29 19:16 . 2010-04-29 10:19        20952        ----a-w-        g:\winxp\system32\drivers\mbam.sys
2010-07-29 19:16 . 2010-07-29 19:16        --------        d-----w-        g:\programme\Malwarebytes' Anti-Malware
2010-07-29 16:27 . 2010-07-29 18:42        --------        d-----w-        G:\WinSetupFromUSB
2010-07-29 16:21 . 2010-07-29 16:26        --------        d-----w-        G:\WINXPCD
2010-07-26 17:12 . 2010-07-26 17:12        --------        d-----w-        g:\programme\Alwil Software
2010-07-26 17:12 . 2010-07-26 17:12        --------        d-----w-        g:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software
2010-07-25 16:51 . 2010-03-01 08:05        124784        ----a-w-        g:\winxp\system32\drivers\avipbb.sys
2010-07-25 16:51 . 2010-07-25 16:51        --------        d-----w-        g:\programme\Avira
2010-07-25 16:51 . 2010-07-25 16:51        --------        d-----w-        g:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-07-25 16:51 . 2010-02-16 12:24        60936        ----a-w-        g:\winxp\system32\drivers\avgntflt.sys
2010-07-25 16:51 . 2009-05-11 10:49        45416        ----a-w-        g:\winxp\system32\drivers\avgntdd.sys
2010-07-25 16:51 . 2009-05-11 10:49        22360        ----a-w-        g:\winxp\system32\drivers\avgntmgr.sys
2010-07-20 21:06 . 2010-07-20 21:06        --------        d-----w-        g:\winxp\Sun
2010-07-12 18:46 . 2010-07-12 18:46        --------        d-----w-        g:\programme\uTorrent
2010-07-12 18:45 . 2010-07-13 17:57        --------        d-----w-        g:\dokumente und einstellungen\~°°~\Anwendungsdaten\uTorrent

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-07 17:19 . 2009-07-06 20:30        67752        ----a-w-        g:\dokumente und einstellungen\~°°~\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-27 18:12 . 2009-10-31 12:22        664        ----a-w-        g:\winxp\system32\d3d9caps.dat
2010-07-26 20:23 . 2009-10-31 12:21        --------        d-----w-        g:\programme\JDownloader
2010-07-26 17:15 . 2009-07-12 14:40        685816        ----a-w-        g:\winxp\system32\drivers\sptd.sys
2010-07-25 15:32 . 2009-12-22 21:22        --------        d-----w-        g:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-07-05 15:33 . 2008-04-14 12:00        515954        ----a-w-        g:\winxp\system32\perfh007.dat
2010-07-05 15:33 . 2008-04-14 12:00        100300        ----a-w-        g:\winxp\system32\perfc007.dat
2010-07-05 15:33 . 2010-07-05 15:33        156864        ----a-w-        g:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-07-05 15:32 . 2009-07-12 14:37        --------        d-----w-        g:\programme\MSBuild
2010-07-05 15:32 . 2010-07-05 15:32        --------        d-----w-        g:\programme\Reference Assemblies
.

------- Sigcheck -------

[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . g:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((  SnapShot@2010-08-04_19.45.26  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-08-08 03:03 . 2010-08-08 03:03        16384              g:\winxp\Temp\Perflib_Perfdata_7dc.dat
+ 2010-08-10 16:40 . 2010-08-10 16:40        16384              g:\winxp\Temp\Perflib_Perfdata_5f0.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="g:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"="g:\winxp\system32\nvraidservice.exe" [2004-06-11 83968]
"GrooveMonitor"="g:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NvCplDaemon"="g:\winxp\system32\NvCpl.dll" [2007-12-04 8523776]
"nwiz"="nwiz.exe" [2007-12-04 1626112]
"NvMediaCenter"="g:\winxp\system32\NvMcTray.dll" [2007-12-04 81920]
"OODefragTray"="g:\winxp\system32\oodtray.exe" [2009-02-25 2553088]
"avgnt"="g:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="g:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-10-18 07:04        5724184        ----a-w-        g:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2007-08-08 04:55        1828136        ----a-w-        g:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 11:27        153136        ----a-w-        g:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"g:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"g:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"g:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"g:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"g:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"g:\\Programme\\FlashFXP\\FlashFXP.exe"=
"g:\\Programme\\ICQ6.5\\ICQ.exe"=
"g:\\Programme\\uTorrent\\uTorrent.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;g:\programme\Avira\AntiVir Desktop\sched.exe [25.07.2010 18:51 135336]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;g:\winxp\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 vaxscsi;vaxscsi;g:\winxp\system32\drivers\vaxscsi.sys [12.07.2009 16:43 223128]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;g:\winxp\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;g:\winxp\system32\drivers\sptd.sys [12.07.2009 16:40 685816]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - g:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {4AC37823-C7FB-4D41-B44A-9BBF124D7A85} = 192.168.3.1
FF - ProfilePath - g:\dokumente und einstellungen\~°°~\Anwendungsdaten\Mozilla\Firefox\Profiles\g12y59fi.default\

---- FIREFOX Richtlinien ----
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
g:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
g:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
g:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
g:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
g:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-10 18:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3868)
g:\winxp\system32\wpdshserviceobj.dll
g:\winxp\system32\portabledevicetypes.dll
g:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
g:\programme\Avira\AntiVir Desktop\avguard.exe
g:\programme\Java\jre6\bin\jqs.exe
g:\programme\Avira\AntiVir Desktop\avshadow.exe
g:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
g:\winxp\system32\oodag.exe
g:\winxp\system32\wbem\unsecapp.exe
g:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
g:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-10  18:43:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-10 16:43
ComboFix2.txt  2010-08-04 19:47

Vor Suchlauf: 12 Verzeichnis(se), 41.499.308.032 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 41.362.210.816 Bytes frei

- - End Of File - - CBF4465162AF8EAD2E99481E22219915

cosinus 10.08.2010 20:50
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

~°°~ 12.08.2010 21:05
GMER:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit quick scan 2010-08-12 22:02:24
Windows 5.1.2600 Service Pack 3
Running: kb38xosq.exe; Driver: G:\DOKUME~1\~~6DFE~1\LOKALE~1\Temp\uxtdypob.sys


---- System - GMER 1.0.15 ----

SSDT    sptd.sys                ZwEnumerateKey [0xF772AFB2]
SSDT    sptd.sys                ZwEnumerateValueKey [0xF772B340]

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs  867D11E8

---- EOF - GMER 1.0.15 ----
Osam
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:04:28 on 12.08.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.5.11

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - "O&O Software GmbH" - G:\WINXP\system32\OODBS.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - G:\WINXP\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - G:\WINXP\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - G:\WINXP\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - G:\WINXP\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - G:\PROGRA~1\Avira\AntiVir Desktop\avconfig.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"Nero BurnRights" - "Nero AG" - G:\Programme\Nero\Nero8\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - G:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - G:\WINXP\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - G:\WINXP\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - G:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - G:\WINXP\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - G:\WINXP\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - G:\WINXP\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - G:\WINXP\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - G:\WINXP\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - G:\WINXP\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - G:\WINXP\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - G:\WINXP\system32\drivers\PDRFRAME.sys  (File not found)
"sptd" (sptd) - "Duplex Secure Ltd." - G:\WINXP\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - G:\WINXP\System32\DRIVERS\ssmdrv.sys
"uxtdypob" (uxtdypob) - ? - G:\DOKUME~1\~~6DFE~1\LOKALE~1\Temp\uxtdypob.sys  (Hidden registry entry, rootkit activity | File not found)
"vaxscsi" (vaxscsi) - "Alcohol Soft Co., Ltd." - G:\WINXP\System32\Drivers\vaxscsi.sys
"WDICA" (WDICA) - ? - G:\WINXP\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - G:\WINXP\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - G:\WINXP\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - G:\WINXP\system32\mscoree.dll
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - G:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - G:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - G:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - G:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{32020A01-506E-484D-A2A8-BE3CF17601C3} "AlcoholShellEx" - ? -  (File not found | COM-object registry key not found)
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - G:\WINXP\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - G:\WINXP\system32\nvshell.dll
{99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} "Meine freigegebenen Ordner" - "Microsoft Corporation" - G:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - G:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - G:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - G:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - G:\Programme\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - G:\WINXP\system32\nvshell.dll
{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451} "OODShellExtObj Class" - "O&O Software GmbH" - G:\PROGRA~1\OOSOFT~1\Defrag\oodsh.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - G:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - G:\WINXP\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - G:\WINXP\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - G:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{45670FA8-ED97-4F44-BC93-305082590BFB} "Windows XPS Document Metadata Handler" - "Microsoft Corporation" - G:\WINXP\System32\XPSSHHDR.DLL
{44121072-A222-48f2-A58A-6D9AD51EBBE9} "Windows XPS Document Thumbnail Handler" - "Microsoft Corporation" - G:\WINXP\System32\XPSSHHDR.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - G:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - G:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - G:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - G:\Programme\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
"ICQ6" - "ICQ, LLC." - G:\Programme\ICQ6.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{E5A1691B-D188-4419-AD02-90002030B8EE} "FlashFXP Helper for Internet Explorer" - "IniCom Networks, Inc." - G:\Programme\FlashFXP\IEFlash.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - G:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - G:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} "{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}" - ? -  (File not found | COM-object registry key not found)
{7E853D72-626A-48EC-A868-BA8D5E23E045} "{7E853D72-626A-48EC-A868-BA8D5E23E045}" - ? -  (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - G:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - G:\Dokumente und Einstellungen\~°°~\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "G:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "G:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"GrooveMonitor" - "Microsoft Corporation" - "G:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
"NVRaidService" - "NVIDIA Corporation" - G:\WINXP\system32\nvraidservice.exe
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"OODefragTray" - "O&O Software GmbH" - G:\WINXP\system32\oodtray.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - G:\WINXP\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - G:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - G:\WINXP\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"Automatische Updates" (wuauserv) - ? - C:\WINDOWS\system32\wuauserv.dll  (File not found)
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - G:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - G:\Programme\Avira\AntiVir Desktop\sched.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - G:\Programme\Java\jre6\bin\jqs.exe
"Messenger USN Journal Reader-Service für freigegebene Ordner" (usnjsvc) - "Microsoft Corporation" - G:\Programme\Windows Live\Messenger\usnsvc.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - G:\WINXP\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - G:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - G:\Programme\Microsoft Office\Office12\GrooveAuditService.exe
"Nero BackItUp Scheduler 3" (Nero BackItUp Scheduler 3) - "Nero AG" - G:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - G:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
"O&O Defrag" (O&O Defrag) - "O&O Software GmbH" - G:\WINXP\system32\oodag.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - G:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - G:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - G:\WINXP\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - G:\WINXP\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
Remover
Code:
.\debug.cpp(238) : Debug log started at 12.08.2010 - 20:04:39
.\boot_cleaner.cpp(675) : Bootkit Remover
.\boot_cleaner.cpp(676) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(677) : www.esagelab.com
.\boot_cleaner.cpp(681) : Program version: 1.1.0.0
.\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x00217080 "\WINXP\system32\ntoskrnl.exe"
.\debug.cpp(256) : 0x806ef000 0x00020300 "\WINXP\system32\hal.dll"
.\debug.cpp(256) : 0xf7d2f000 0x00002000 "\WINXP\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xf7c3f000 0x00003000 "\WINXP\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xf7724000 0x000ea000 "sptd.sys"
.\debug.cpp(256) : 0xf7d31000 0x00002000 "\WINXP\System32\Drivers\WMILIB.SYS"
.\debug.cpp(256) : 0xf770c000 0x00018000 "\WINXP\System32\Drivers\SCSIPORT.SYS"
.\debug.cpp(256) : 0xf76dd000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xf76cc000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xf782f000 0x0000a000 "isapnp.sys"
.\debug.cpp(256) : 0xf7df7000 0x00001000 "pciide.sys"
.\debug.cpp(256) : 0xf7aaf000 0x00007000 "\WINXP\system32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xf783f000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xf76ad000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xf7d33000 0x00002000 "dmload.sys"
.\debug.cpp(256) : 0xf7687000 0x00026000 "dmio.sys"
.\debug.cpp(256) : 0xf7ab7000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xf7676000 0x00011000 "nvraid.sys"
.\debug.cpp(256) : 0xf784f000 0x0000d000 "\WINXP\system32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xf785f000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xf765e000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xf764a000 0x00014000 "nvatabus.sys"
.\debug.cpp(256) : 0xf786f000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xf762a000 0x00020000 "fltMgr.sys"
.\debug.cpp(256) : 0xf7618000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xf7601000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xf7574000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0xf7547000 0x0002d000 "NDIS.sys"
.\debug.cpp(256) : 0xf7abf000 0x00006000 "nv_agp.sys"
.\debug.cpp(256) : 0xf752d000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xf796f000 0x0000b000 "\SystemRoot\system32\DRIVERS\amdk7.sys"
.\debug.cpp(256) : 0xf7b97000 0x00007000 "\SystemRoot\system32\DRIVERS\fdc.sys"
.\debug.cpp(256) : 0xf7488000 0x00014000 "\SystemRoot\system32\DRIVERS\parport.sys"
.\debug.cpp(256) : 0xf7cff000 0x00003000 "\SystemRoot\system32\DRIVERS\gameenum.sys"
.\debug.cpp(256) : 0xf7a2f000 0x00010000 "\SystemRoot\system32\DRIVERS\serial.sys"
.\debug.cpp(256) : 0xf7d07000 0x00004000 "\SystemRoot\system32\DRIVERS\serenum.sys"
.\debug.cpp(256) : 0xf7bc7000 0x00005000 "\SystemRoot\system32\DRIVERS\usbohci.sys"
.\debug.cpp(256) : 0xf7464000 0x00024000 "\SystemRoot\system32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xf7bf7000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xf7d13000 0x00004000 "\SystemRoot\system32\DRIVERS\nvnetbus.sys"
.\debug.cpp(256) : 0xf7a3f000 0x0000e000 "\SystemRoot\system32\DRIVERS\NVNRM.SYS"
.\debug.cpp(256) : 0xf7435000 0x0002f000 "\SystemRoot\system32\DRIVERS\NVSNPU.SYS"
.\debug.cpp(256) : 0xf7a4f000 0x00010000 "\SystemRoot\system32\DRIVERS\cdrom.sys"
.\debug.cpp(256) : 0xf7a5f000 0x0000f000 "\SystemRoot\system32\DRIVERS\redbook.sys"
.\debug.cpp(256) : 0xf7412000 0x00023000 "\SystemRoot\system32\DRIVERS\ks.sys"
.\debug.cpp(256) : 0xf7a6f000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys"
.\debug.cpp(256) : 0xf7242000 0x001d0000 "\SystemRoot\system32\DRIVERS\nv4_mini.sys"
.\debug.cpp(256) : 0xf722e000 0x00014000 "\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xf7e73000 0x00001000 "\SystemRoot\system32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xf7a7f000 0x0000d000 "\SystemRoot\system32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xf7d2b000 0x00003000 "\SystemRoot\system32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xf7217000 0x00017000 "\SystemRoot\system32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xf7a8f000 0x0000b000 "\SystemRoot\system32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xf7a9f000 0x0000c000 "\SystemRoot\system32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xf7bef000 0x00005000 "\SystemRoot\system32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xf7206000 0x00011000 "\SystemRoot\system32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xf789f000 0x00009000 "\SystemRoot\system32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xf7c1f000 0x00005000 "\SystemRoot\system32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xf7c2f000 0x00005000 "\SystemRoot\system32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xf71ae000 0x00030000 "\SystemRoot\system32\DRIVERS\rdpdr.sys"
.\debug.cpp(256) : 0xf78af000 0x0000a000 "\SystemRoot\system32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xf7b07000 0x00007000 "\SystemRoot\system32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xf7b17000 0x00006000 "\SystemRoot\system32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xf7d39000 0x00002000 "\SystemRoot\system32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xf7150000 0x0005e000 "\SystemRoot\system32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xf74e5000 0x00004000 "\SystemRoot\system32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xf78bf000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xf78cf000 0x0000f000 "\SystemRoot\system32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xf7d43000 0x00002000 "\SystemRoot\system32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xf78df000 0x00009000 "\SystemRoot\system32\DRIVERS\NVENETFD.sys"
.\debug.cpp(256) : 0xf7baf000 0x00005000 "\SystemRoot\system32\DRIVERS\flpydisk.sys"
.\debug.cpp(256) : 0xf7d47000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xf7e0b000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xf7d4b000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xf7be7000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xf7d4f000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xf7d53000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xf7c07000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xf7c17000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xf7cf3000 0x00003000 "\SystemRoot\system32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xf5f55000 0x00013000 "\SystemRoot\system32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xf5efc000 0x00059000 "\SystemRoot\system32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xf5ed4000 0x00028000 "\SystemRoot\system32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xf5eae000 0x00026000 "\SystemRoot\system32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xf5e8c000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xf790f000 0x00009000 "\SystemRoot\system32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xf7bcf000 0x00006000 "\SystemRoot\system32\DRIVERS\ssmdrv.sys"
.\debug.cpp(256) : 0xf5e61000 0x0002b000 "\SystemRoot\system32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xf5df1000 0x00070000 "\SystemRoot\system32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xf792f000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xf5da7000 0x00022000 "\SystemRoot\system32\DRIVERS\avipbb.sys"
.\debug.cpp(256) : 0xf7d5f000 0x00002000 "\??\G:\Programme\Avira\AntiVir Desktop\avgio.sys"
.\debug.cpp(256) : 0xf7a1f000 0x00009000 "\SystemRoot\system32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xf5fe8000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xf5d93000 0x00014000 "\SystemRoot\System32\Drivers\dump_nvatabus.sys"
.\debug.cpp(256) : 0xf7d6d000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"
.\debug.cpp(256) : 0xbf800000 0x001c3000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xf7cef000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xf7b47000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbf000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xf7ef9000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbf012000 0x00414000 "\SystemRoot\System32\nv4_disp.dll"
.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"
.\debug.cpp(256) : 0xf4c66000 0x00015000 "\SystemRoot\system32\DRIVERS\avgntflt.sys"
.\debug.cpp(256) : 0xf4c16000 0x00004000 "\SystemRoot\system32\DRIVERS\ndisuio.sys"
.\debug.cpp(256) : 0xf41e1000 0x0002d000 "\SystemRoot\system32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xf7ddb000 0x00002000 "\SystemRoot\System32\Drivers\ParVdm.SYS"
.\debug.cpp(256) : 0xf4077000 0x00052000 "\SystemRoot\system32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xf7bb7000 0x00006000 "\SystemRoot\System32\Drivers\TDTCP.SYS"
.\debug.cpp(256) : 0xf3d0c000 0x00023000 "\SystemRoot\System32\Drivers\RDPWD.SYS"
.\debug.cpp(256) : 0xbff60000 0x00017000 "\SystemRoot\System32\RDPDD.dll"
.\debug.cpp(256) : 0xf2dcb000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys"
.\debug.cpp(256) : 0xf2c9c000 0x00017000 "\??\G:\DOKUME~1\~~6DFE~1\LOKALE~1\Temp\uxtdypob.sys"
.\debug.cpp(256) : 0x7c910000 0x000b6000 "\WINXP\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) :              Destination="\Device\Ndis"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) :              Destination="\Device\Video0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVDRAM_GSA-H12N________________UL02____#324B36314D413042303820302020202020202020#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000060"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) :              Destination="\Device\Video1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0401#4&14399727&0#{97f76ef0-f883-11d0-af1f-0000f800845c}"
.\debug.cpp(400) :              Destination="\Device\00000057"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNPB02F#4&14399727&0#{cae56030-684a-11d0-d6f6-00a0c90f57da}"
.\debug.cpp(400) :              Destination="\Device\00000058"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000030"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmIoDaemon"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmIoDaemon"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) :              Destination="\Device\Ip"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) :              Destination="\Device\Video2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) :              Destination="\Device\IPSEC"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio"
.\debug.cpp(400) :              Destination="\Device\avgio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) :              Destination="\Device\Video3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{150af839-6ef2-11de-a39f-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) :              Destination="\Device\NDProxy"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\RdpDrDvMgr"
.\debug.cpp(400) :              Destination="\Device\RdpDrDvMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\$VDMLPT1"
.\debug.cpp(400) :              Destination="\Device\ParallelVdm0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\F:"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomATAPI_DVD_D__DH16D2P____________________HP57____#4&183d5d1&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\0000005f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) :              Destination="\Device\WMIDataDevice"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVDRAM_GSA-H12N________________UL02____#324B36314D413042303820302020202020202020#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000060"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM1"
.\debug.cpp(400) :              Destination="\Device\Serial0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#AuthenticAMD_-_x86_Family_6_Model_8#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) :              Destination="\Device\0000003d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\avgntflt"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&7f18dc9&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&724fb78&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) :              Destination="\Device\NamedPipe"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\G:"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) :              Destination="\Device\Mup"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) :              Destination="\Device\PSched"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) :              Destination="\Device\IPNAT"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{F15126B7-B915-40E6-87C8-5F49A75390E8}"
.\debug.cpp(400) :              Destination="\Device\{F15126B7-B915-40E6-87C8-5F49A75390E8}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) :              Destination="\Device\USBFDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\FltMgrMsg"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) :              Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{263CA088-7E4F-4035-BA2C-D20D9FA7C82E}"
.\debug.cpp(400) :              Destination="\Device\{263CA088-7E4F-4035-BA2C-D20D9FA7C82E}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) :              Destination="\Device\VideoPdo0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) :              Destination="\Device\USBFDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000034"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) :              Destination="\Device\Harddisk0\DR0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) :              Destination="\DosDevices\LPT1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"
.\debug.cpp(400) :              Destination="\Device\USBFDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) :              Destination="\Device\FsWrap"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000032"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{EEC41978-D8FC-49E1-8C2F-8625166A5EEE}"
.\debug.cpp(400) :              Destination="\Device\{EEC41978-D8FC-49E1-8C2F-8625166A5EEE}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0181&SUBSYS_00000000&REV_A2#4&110723f&0&00F0#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0017"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom1"
.\debug.cpp(400) :              Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a7da19e6-6a75-11de-921b-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{150af838-6ef2-11de-a39f-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\00000041"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#aa#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) :              Destination="\Device\00000040"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) :              Destination="\GLOBAL??"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) :              Destination="\Device\0000005b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#_NVRAIDBUS#3&267a616a&0#{2accfe60-c130-11d2-b082-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a7da19e0-6a75-11de-921b-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0087&SUBSYS_00871849&REV_A1#3&267a616a&0&11#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0009"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0088&SUBSYS_00881849&REV_A2#3&267a616a&0&12#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0010"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDPDR#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}"
.\debug.cpp(400) :              Destination="\Device\00000035"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) :              Destination="\Device\0000005b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{04CED554-C6CA-4721-95E1-7B4DBF472E97}"
.\debug.cpp(400) :              Destination="\Device\{04CED554-C6CA-4721-95E1-7B4DBF472E97}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) :              Destination="\Device\MountPointManager"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomATAPI_DVD_D__DH16D2P____________________HP57____#4&183d5d1&0&0.0.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\0000005f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{1a3e09be-1e45-494b-9174-d7385b45bbf5}#NVNET_DEV008c#4&2f695a30&0&01#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000066"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ssmctl"
.\debug.cpp(400) :              Destination="\Device\ssmctl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\0000002e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmConfig"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmConfig"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\uxtdypob"
.\debug.cpp(400) :              Destination="\Device\uxtdypob"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) :              Destination="\Device\WANARP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmTrace"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmTrace"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\A:"
.\debug.cpp(400) :              Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{C296025F-6C93-49AD-8C57-9734F4C58D39}"
.\debug.cpp(400) :              Destination="\Device\{C296025F-6C93-49AD-8C57-9734F4C58D39}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) :              Destination="\Device\NdisWanIp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#dmio#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) :              Destination="\Device\Scsi\nvraid0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{a7da19e7-6a75-11de-921b-806d6172696f}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVDRAM_GSA-H12N________________UL02____#324B36314D413042303820302020202020202020#{1186654d-47b8-48b9-beb9-7df113ae3c67}"
.\debug.cpp(400) :              Destination="\Device\00000060"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{580AE5AF-4843-4A27-9924-E11E999A0A02}"
.\debug.cpp(400) :              Destination="\Device\{580AE5AF-4843-4A27-9924-E11E999A0A02}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_008C&SUBSYS_09001849&REV_A3#3&267a616a&0&20#{c4f6eed3-1c5e-4f43-a768-83ecba42fcc1}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0011"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) :              Destination="\Device\00000031"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) :              Destination="\Device\ParTechInc0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) :              Destination="\Device\NdisTapi"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) :              Destination="\Device\NdisWan"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) :              Destination="\Device\NvAta0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) :              Destination="\Device\IPMULTICAST"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPT1"
.\debug.cpp(400) :              Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) :              Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) :              Destination="\Device\ParTechInc1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmLoader"
.\debug.cpp(400) :              Destination="\Device\DmLoader"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature30643063Offset7E00LengthC34F24E00#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) :              Destination="\Device\LanmanRedirector"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) :              Destination="\Device\ParTechInc2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) :              Destination="\FileSystem\Filters\FltMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&b94b52d&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) :              Destination="\Device\USBPDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) :              Destination="\Device\FtControl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) :              Destination="\Device\MailSlot"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) :              Destination="\DosDevices\COM1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPTENUM#MicrosoftRawPort#5&1958a55e&0&LPT1#{811fc6a5-f728-11d0-a537-0000f8753ed1}"
.\debug.cpp(400) :              Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FDC#GENERIC_FLOPPY_DRIVE#5&3314e3c&0&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\FloppyPDO0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) :              Destination=""

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ndisuio"
.\debug.cpp(400) :              Destination="\Device\Ndisuio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000037"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi2:"
.\debug.cpp(400) :              Destination="\Device\NvAta1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) :              Destination="\Device\Null"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0087&SUBSYS_00871849&REV_A1#3&267a616a&0&10#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) :              Destination="\Device\NTPNP_PCI0008"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature30643063OffsetC34F34A00LengthDCAB42B600#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) :              Destination="\Device\00000036"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb"
.\debug.cpp(400) :              Destination="\Device\avipbb"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskSAMSUNG_HD103SI_________________________1AG01118#31535356394A5330333536313635202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) :              Destination="\Device\00000062"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{4AC37823-C7FB-4D41-B44A-9BBF124D7A85}"
.\debug.cpp(400) :              Destination="\Device\{4AC37823-C7FB-4D41-B44A-9BBF124D7A85}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmInfo"
.\debug.cpp(400) :              Destination="\Device\DmControl\DmInfo"

.\debug.cpp(451) : **********************************************
.\boot_cleaner.cpp(1077) : System volume is \\.\G:
.\boot_cleaner.cpp(1113) : \\.\G: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(240) : SPTI_Read(): DeviceIoControl() ERROR 1
.\boot_cleaner.cpp(384) : ERROR: SPTI_Read() fails for \\.\PhysicalDrive0
.\boot_cleaner.cpp(424) : Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf
.\boot_cleaner.cpp(1151) :
.\boot_cleaner.cpp(1152) :      Size  Device Name          MBR Status
.\boot_cleaner.cpp(1153) :  --------------------------------------------
.\boot_cleaner.cpp(1197) :    931 GB  \\.\PhysicalDrive0  Unknown boot code
.\boot_cleaner.cpp(1203) :
.\boot_cleaner.cpp(1209) : Unknown boot code has been found on some of your physical disks.
.\boot_cleaner.cpp(1211) : To inspect the boot code manually, dump the master boot sector:
.\boot_cleaner.cpp(1212) : remover.exe dump <device_name> [output_file]
.\boot_cleaner.cpp(1216) : To disinfect the master boot sector, use the following command:
.\boot_cleaner.cpp(1217) : remover.exe fix <device_name>
.\boot_cleaner.cpp(1220) :
.\boot_cleaner.cpp(1242) : Done;

cosinus 13.08.2010 10:03
Zitat:
Rootkit quick scan 2010-08-12 22:02:24
Hast Du gmer nicht genau nach Anleitung ausgeführt? Warum nicht? :confused:


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131