Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los? (https://www.trojaner-board.de/90601-20tans-onlinebanking-abfrage-volksbank-trojaner-los.html)

Stabilo 10.09.2010 02:07
20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los?
 
Hallo,

ich bin neu im Forum und hoffe, dass auch mir bei der Lösung meines Problems geholfen werden kann. Seit heute habe ich beim Online-Banking eine Aufforderung, dass ich 20 Tans eingeben soll. Ich habe meine Bank kontaktiert, welche mir sagte, dass es sich bei dieser Abfrage um einen Trojaner handeln würde. Weil mir meine Bank jedoch nicht weitergeholfen hat, habe ich google benutzt und bin auf euer Forum aufmerksam geworden. In einem bisherigen Beitrag hatte jemand ein ähnliches Problem, welche mit eurer Hilfe gelöst werden konnte. Ich habe mich jedoch nicht getraut das ComboFix zu nutzen, weil ich Angst habe damit etwas falsch zu machen. Vielleicht köntet Ihr mit freundlicherweise helfen.


Vielen Dank für die Mühe und eine gute Nacht!;-)

Stabilo

-------------------------------------------

Ich habe die Tools geladen und bin der Anleitung gefolgt.

Logfiles von Malware (Quickscan):
Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4584

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.09.2010 02:03:27
mbam-log-2010-09-10 (02-03-27).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144368
Laufzeit: 1 Stunde(n), 33 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Defogger_Disable Log:

Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 02:32 on 10/09/2010 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:AlcoholAutomount -> Removed

Checking for services/drivers...
Unable to read dwamqkuj.sys
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-
Gmer.txt (hier bekam ich eine Warung, konnte jedoch nur auf „Ok“ klicken und dann bekam ich die folgenden Daten):
GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-10 02:42:10
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uxtdipow.sys


---- System - GMER 1.0.15 ----

SSDT    BA758AA3                                                                                                      ZwDeleteKey
SSDT    BA758AAD                                                                                                      ZwDeleteValueKey
SSDT    BA758AB2                                                                                                      ZwLoadKey
SSDT    BA758ABC                                                                                                      ZwReplaceKey
SSDT    BA758AB7                                                                                                      ZwRestoreKey

---- Kernel code sections - GMER 1.0.15 ----

?        C:\WINDOWS\system32\drivers\dwamqkuj.sys                                                                      Ein an das System angeschlossenes Gerät funktioniert nicht. !
PAGE    Ntfs.sys                                                                                                      B9D97E55 4 Bytes  CALL 89D796D1
.text    C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                      section is writeable [0xB77B5000, 0x1A0D8E, 0xE8000020]
.text    C:\WINDOWS\system32\drivers\ACEDRV06.sys                                                                      section is writeable [0xA482F000, 0x319AA, 0xE8000020]
.pklstb  C:\WINDOWS\system32\drivers\ACEDRV06.sys                                                                      entry point in ".pklstb" section [0xA4872000]
.relo2  C:\WINDOWS\system32\drivers\ACEDRV06.sys                                                                      unknown last section [0xA488D000, 0x8E, 0x42000040]
.reloc  C:\WINDOWS\system32\drivers\acedrv11.sys                                                                      section is executable [0xA45B1600, 0x25B0C, 0xE0000060]

---- User code sections - GMER 1.0.15 ----

.text    C:\WINDOWS\Explorer.EXE[612] ntdll.dll!NtQueryDirectoryFile + 6                                                7C91D756 4 Bytes  [90, 61, FC, 00]

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                        89D10200
Device  \Driver\Tcpip \Device\Ip                                                                                      89884A80
Device  \Driver\Tcpip \Device\Tcp                                                                                      89884A80
Device  \Driver\Tcpip \Device\Udp                                                                                      89884A80
Device  \Driver\Tcpip \Device\RawIp                                                                                    89884A80
Device  \Driver\Tcpip \Device\IPMULTICAST                                                                              89884A80

---- Services - GMER 1.0.15 ----

Service  (*** hidden *** )                                                                                            [BOOT] dwamqkuj                                                <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\dwamqkuj@Type                                                          1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\dwamqkuj@Start                                                          0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\dwamqkuj@ErrorControl                                                  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\dwamqkuj@Group                                                          Boot Bus Extender
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                            C:\Programme\Alcohol Soft\Alcohol 120\
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                            0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                        0x73 0x61 0xCF 0x9E ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                  0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\dwamqkuj@Type                                                              1
Reg      HKLM\SYSTEM\ControlSet002\Services\dwamqkuj@Start                                                              0
Reg      HKLM\SYSTEM\ControlSet002\Services\dwamqkuj@ErrorControl                                                      0
Reg      HKLM\SYSTEM\ControlSet002\Services\dwamqkuj@Group                                                              Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)         
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                C:\Programme\Alcohol Soft\Alcohol 120\
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                0
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                            0x73 0x61 0xCF 0x9E ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet) 
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                      0x20 0x01 0x00 0x00 ...

---- EOF - GMER 1.0.15 ----
--- --- ---


OTL.txt:
OTL Logfile:
Code:
OTL logfile created on: 10.09.2010 02:48:59 - Run 4
OTL by OldTimer - Version 3.2.11.0    Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 77,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 169,50 Gb Free Space | 72,79% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ****
Current User Name: Administrator
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Minimal
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe (DATA BECKER GmbH & Co KG)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\Programme\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\monmvr32.exe ()
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\mobstify.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.dll (Adobe Systems, Inc.)
MOD - C:\WINDOWS\system32\AcSignIcon.dll (Autodesk, Inc.)
MOD - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll (Autodesk)
MOD - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcSignCore16.dll (Autodesk, Inc.)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcr80.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_a57c1f53\mfc90u.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_d495ac4e\msvcr90.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_d495ac4e\msvcp90.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_15fc9313\mfc90deu.dll (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU ()
MOD - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll (Sun Microsystems, Inc.)
MOD - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\stlport_vc7145.dll (STLport Consulting, Inc.)
MOD - C:\WINDOWS\system32\xpsp2res.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5512_x-ww_dfb54e0c\GdiPlus.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\opengl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\ddraw.dll (Microsoft Corporation)
MOD - C:\WINDOWS\ipadibot.dll ()
MOD - C:\WINDOWS\system32\glu32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINDOWS\system32\dciman32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe File not found
SRV - (DBService) -- C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe (DATA BECKER GmbH & Co KG)
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Autodesk Licensing Service) -- C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe (Autodesk)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (adfs) -- C:\WINDOWS\System32\drivers\adfs.sys (Adobe Systems, Inc.)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (ACEDRV06) -- C:\WINDOWS\system32\drivers\ACEDRV06.sys (Protect Software GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (truecrypt) -- C:\WINDOWS\System32\drivers\truecrypt.sys (TrueCrypt Foundation)
DRV - (gdrv) -- C:\WINDOWS\gdrv.sys (Windows (R) 2000 DDK provider)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                          )
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (acedrv11) -- C:\WINDOWS\system32\drivers\acedrv11.sys (Protect Software GmbH)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (cdrbsdrv) -- C:\WINDOWS\System32\drivers\CDRBSDRV.SYS (B.H.A Corporation)
DRV - (SilverLink) Texas Instruments SilverLink (USB GraphLink) -- C:\WINDOWS\system32\drivers\SilvrLnk.sys (Texas Instruments Incorporated)
DRV - (BrPar) -- C:\WINDOWS\System32\drivers\BrPar.sys (Brother Industries Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\URLSearchHook: {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll (DeviceVM Inc.)
IE - HKCU\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "netzradio-germania Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2131209&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "netzradio-germania Customized Web Search"
FF - prefs.js..browser.startup.homepage: "hxxp://ebay.de"
FF - prefs.js..extensions.enabledItems: YoutubeDownloader@PeterOlayev.com:1.5
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.5.4
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004
FF - prefs.js..extensions.enabledItems: {B17C1C5A-04B1-11DB-9804-B622A1EF5492}:1.2.1
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.0.7
FF - prefs.js..extensions.enabledItems: {d57c9ff1-6389-48fc-b770-f78bd89b6e8a}:1.33
FF - prefs.js..extensions.enabledItems: {2C526EA5-B024-4E23-9DF8-0D274CB4FA95}:1.9.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95} [2010.09.09 14:48:25 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.10 00:11:05 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.10 00:11:04 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.3\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.09.09 19:03:03 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.3\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.09.09 18:10:06 | 000,000,000 | ---D | M]
 
[2010.01.24 22:55:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2010.01.24 22:55:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.09.09 22:11:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions
[2010.09.09 17:26:01 | 000,000,000 | ---D | M] (Password Exporter) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\{B17C1C5A-04B1-11DB-9804-B622A1EF5492}
[2010.07.31 10:16:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\{d57c9ff1-6389-48fc-b770-f78bd89b6e8a}
[2010.07.27 01:28:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\firebug@software.joehewitt.com
[2009.03.25 05:09:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\moveplayer@movenetworks.com
[2010.07.27 01:29:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\youtube2mp3@mondayx.de
[2010.08.07 19:07:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\YoutubeDownloader@PeterOlayev.com
[2009.06.27 22:01:08 | 000,000,898 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\searchplugins\conduit.xml
[2010.09.09 22:11:52 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.09.09 17:27:03 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2009.07.29 15:40:04 | 000,605,184 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\beanspruchung.dll
[2009.07.24 14:40:42 | 000,025,600 | ---- | M] (Inprise Corporation) -- C:\Programme\Mozilla Firefox\plugins\borlndmm.dll
[2009.07.24 14:40:44 | 001,500,160 | ---- | M] (Borland Corporation) -- C:\Programme\Mozilla Firefox\plugins\cc3260mt.dll
[2009.07.29 15:39:44 | 000,713,216 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\gemeinden_italy.dll
[2009.07.29 15:38:02 | 001,982,464 | ---- | M] (SYSCON-Informatik GmbH) -- C:\Programme\Mozilla Firefox\plugins\mdview3d.dll
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2008.02.22 17:24:06 | 000,095,832 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPPDLicenseHelper.dll
[2009.07.30 13:24:28 | 001,503,232 | ---- | M] (SYSCON INFORMATIK GmbH) -- C:\Programme\Mozilla Firefox\plugins\npProfilRechercheInetCtrl.dll
[2009.07.24 14:42:02 | 000,288,256 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\scprint_bc.dll
[2009.07.24 14:42:00 | 000,101,376 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\sctbcolordlg_bc.dll
[2009.07.29 15:38:58 | 003,534,336 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\scviewer.dll
[2009.07.24 14:40:44 | 000,618,496 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\stlpmt45.dll
[2010.06.25 22:34:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.06.25 22:34:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.06.25 22:34:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.06.25 22:34:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.06.25 22:34:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.03.16 07:48:59 | 000,000,853 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1                                activate.adobe.com
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O3 - HKLM\..\Toolbar: (no name) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Dmefilakiza] C:\WINDOWS\ipadibot.DLL ()
O4 - HKLM..\Run: [DriverCD] D:\Run.exe File not found
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe ()
O4 - HKCU..\Run: [TrueCrypt] C:\Programme\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\monmvr32.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Pidgin.lnk = C:\Programme\Pidgin\pidgin.exe (The Pidgin developer community)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{14FCFE7C-AB86-428A-9D2E-BFB6F5A7AA6E}\Icon3E5562ED7.ico ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: AllowLegacyWebView = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: AllowUnhashedWebView = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra 'Tools' menuitem : Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.05.06 19:22:35 | 000,000,000 | ---D | M] - C:\Autodesk -- [ NTFS ]
O32 - AutoRun File - [2009.03.07 13:15:21 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{eb6b3f2c-989c-11de-90f7-001fd0d4585b}\Shell - "" = AutoRun
O33 - MountPoints2\{eb6b3f2c-989c-11de-90f7-001fd0d4585b}\Shell\AutoRun - "" = Auto&Play
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: nsloager - (C:\WINDOWS\mobstify.dll) - C:\WINDOWS\mobstify.dll ()
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 0
 
Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.ac3acm - C:\WINDOWS\System32\AC3ACM.acm (fccHandler)
Drivers32: msacm.alf2cd - C:\WINDOWS\System32\alf2cd.acm (NCT Company)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.lhacm - C:\WINDOWS\System32\lhacm.acm (Microsoft Corporation)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.scg726 - C:\WINDOWS\System32\Scg726.acm (SHARP Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: msacm.voxacm160 - C:\WINDOWS\System32\vct3216.acm (Voxware, Inc.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\WINDOWS\System32\divx.dll (DivXNetworks, Inc.)
Drivers32: vidc.dvsd - C:\WINDOWS\System32\mcdvd_32.dll (MainConcept)
Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.dll (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: VIDC.MJPG - C:\WINDOWS\System32\Pvmjpg21.dll (Pegasus Imaging Corporation)
Drivers32: vidc.mp42 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation)
Drivers32: vidc.mp43 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation)
Drivers32: vidc.mpg4 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.xvid - C:\WINDOWS\System32\xvidvfw.dll ()
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (15776209447157760)
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.09.10 00:13:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.09.10 00:12:51 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2010.09.10 00:11:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\Gmer
[2010.09.10 00:06:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\MFTools
[2010.09.09 23:32:50 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2010.09.09 18:17:42 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.09.09 17:29:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2010.09.09 17:29:06 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.09.09 17:29:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.09.09 17:29:04 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.09.09 17:29:04 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.09.09 17:27:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.09.09 17:27:35 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.09.09 17:01:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avira
[2010.09.09 15:05:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\elsterformular
[2010.09.09 15:05:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2010.09.09 15:04:36 | 000,000,000 | ---D | C] -- C:\Programme\ElsterFormular
[2010.09.09 14:48:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}
[2010.09.04 00:44:40 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2010.09.03 20:16:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.09.03 20:13:11 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.09.03 20:13:10 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.09.03 20:13:10 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.09.03 20:13:10 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.09.03 20:13:10 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.09.03 20:13:10 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.09.03 20:13:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.08.24 19:57:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\Literatur Weitkemper
[2010.08.24 18:26:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon
[2010.08.24 16:05:45 | 000,000,000 | ---D | C] -- C:\Programme\Canon
[2010.08.24 16:01:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\A4W_DATA
[2010.08.24 15:59:58 | 000,299,520 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINDOWS\Uninsop9.exe
[2010.08.24 15:59:58 | 000,097,280 | ---- | C] (Caere Corporation) -- C:\WINDOWS\System32\opshel32.dll
[2010.08.24 15:59:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\Pixtran
[2010.08.24 15:59:55 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Caere
[2010.08.24 15:59:53 | 000,000,000 | ---D | C] -- C:\Programme\Caere
[2010.08.24 15:59:31 | 000,299,520 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINDOWS\uninst.exe
[2010.08.24 15:59:13 | 000,212,480 | ---- | C] (Eastman Kodak) -- C:\WINDOWS\PCDLIB32.DLL
[2010.08.24 15:59:04 | 000,000,000 | ---D | C] -- C:\Programme\ArcSoft
[2010.08.24 15:35:16 | 000,318,976 | ---- | C] (Canon) -- C:\WINDOWS\System32\UCS32P.DLL
[2010.08.22 15:27:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Turbo Lister
[2010.08.22 15:24:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\ebay
[2010.08.22 15:08:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\DCIM
[2010.08.07 18:21:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Stream Catcher
[2010.08.07 18:20:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DATA BECKER Downloads
[2010.08.07 18:20:08 | 000,000,000 | ---D | C] -- C:\Programme\ProtectDisc Driver Installer
[2010.08.07 18:20:08 | 000,000,000 | ---D | C] -- C:\Programme\ProtectDisc
[2010.08.07 18:19:55 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Components
[2010.08.07 18:19:47 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DATA BECKER Shared
[2010.08.07 18:19:45 | 000,000,000 | ---D | C] -- C:\Programme\DATA BECKER
[2010.08.07 18:13:36 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Connect 2
[2010.08.07 18:12:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
[2010.08.07 14:59:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\streamripper
[2010.08.07 14:59:41 | 000,000,000 | ---D | C] -- C:\Programme\Streamripper
[2010.08.07 03:31:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ProgSense
[2010.08.07 03:31:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GrabPro
[2010.08.07 03:31:11 | 000,000,000 | ---D | C] -- C:\downloads
[2010.08.07 03:31:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Orbit
[2010.08.04 20:46:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\YoudaGames
[2010.08.04 20:46:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.08.04 19:53:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\Internet Logs
[2010.08.04 17:20:23 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.08.04 17:15:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Application Data
[2010.08.04 17:15:48 | 000,000,000 | ---D | C] -- C:\Programme\Conduit
[2010.08.04 17:15:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Conduit
[2010.08.04 16:56:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue
[2010.08.04 13:42:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2010.08.04 11:27:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\ForceField Shared Files
[2010.08.04 11:27:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CheckPoint
[2010.08.02 16:45:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\.narya
[2010.08.02 16:38:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Application Data
[2010.08.01 17:44:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
[2010.07.26 00:32:21 | 000,000,000 | ---D | C] -- C:\Programme\Animake
[2010.07.26 00:32:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\animake
[2010.07.26 00:04:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\WINDOWS
[2010.07.17 12:39:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\bautoff
[2010.06.26 11:28:09 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2010.06.25 17:00:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
[2010.06.25 17:00:11 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\XpressUpdate
[2010.06.25 17:00:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PixelPlanet
[2010.06.25 16:59:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
[2010.06.24 21:21:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
[2010.06.24 21:19:38 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\SpellEx
[2010.06.24 21:18:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\URTTEMP
[2010.06.24 19:01:18 | 000,021,456 | ---- | C] (Texas Instruments Incorporated) -- C:\WINDOWS\System32\drivers\SilvrLnk.sys
[2010.06.24 19:01:03 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\TI Shared
[2010.06.24 19:01:03 | 000,000,000 | ---D | C] -- C:\Programme\TI Education
[2010.06.24 19:01:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\MyTIData
[2010.06.24 19:00:15 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
 
========== Files - Modified Within 90 Days ==========
 
[2010.09.10 02:50:36 | 000,585,504 | ---- | M] () -- C:\WINDOWS\System32\drivers\dwamqkuj.sys
[2010.09.10 02:45:56 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2010.09.10 02:45:39 | 000,000,360 | ---- | M] () -- C:\WINDOWS\tasks\WinMaximizer-Administrator-Startup.job
[2010.09.10 02:45:13 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.10 02:45:11 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.10 02:45:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.10 02:35:24 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Jludili.dat
[2010.09.10 02:33:22 | 008,650,752 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat
[2010.09.10 02:33:22 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini
[2010.09.10 02:33:01 | 000,000,182 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2010.09.10 02:04:12 | 000,015,396 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\trojaner forum.odt
[2010.09.10 00:12:52 | 000,000,591 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\NTREGOPT.lnk
[2010.09.10 00:12:52 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ERUNT.lnk
[2010.09.10 00:09:15 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Kxajuwone.bin
[2010.09.10 00:06:29 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\defogger.exe
[2010.09.10 00:06:28 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Gmer.zip
[2010.09.10 00:05:57 | 000,388,197 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Load.exe
[2010.09.09 23:32:53 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2010.09.09 23:24:09 | 006,951,172 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.09.09 23:19:21 | 000,002,447 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.lnk
[2010.09.09 21:33:10 | 003,841,108 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2010.09.09 21:11:05 | 000,489,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.09.09 21:09:43 | 003,002,096 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.09.09 18:09:25 | 000,046,592 | -H-- | M] () -- C:\WINDOWS\mobstify.dll
[2010.09.09 18:09:22 | 000,000,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\apiqfw.dat
[2010.09.09 17:29:09 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.09 15:34:56 | 000,004,022 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer2.elfo
[2010.09.09 15:34:07 | 000,030,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer.pdf
[2010.09.09 15:32:48 | 000,044,702 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer.elfo
[2010.09.09 15:05:13 | 000,000,711 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk
[2010.09.09 14:46:41 | 000,046,592 | -H-- | M] () -- C:\WINDOWS\System32\mobstify.dll
[2010.09.08 22:24:31 | 000,002,409 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\VPN Client.lnk
[2010.09.08 22:05:07 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2010.09.08 18:18:28 | 000,011,390 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mischkreuzverfahren.odt
[2010.09.08 18:18:08 | 000,035,357 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\mischkreuzverfahren.pdf
[2010.09.08 17:44:32 | 038,372,518 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\flugblatt_dina6_8seiten.psd
[2010.09.07 17:41:55 | 000,654,570 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\75817_probe.pdf
[2010.09.07 01:52:08 | 000,730,102 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\statistik.bmp
[2010.09.05 22:24:57 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\winscp.rnd
[2010.09.02 18:46:31 | 002,491,416 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Hindenburgs Ansprache an die deutsche Jugend 01.05.1933.FLV
[2010.08.31 13:00:11 | 000,000,097 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVSMediaPlayer.m3u
[2010.08.31 10:54:57 | 000,014,543 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\zeugnis noten.ods
[2010.08.29 20:30:18 | 000,032,716 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\0001.kdb
[2010.08.24 18:22:13 | 000,000,022 | ---- | M] () -- C:\WINDOWS\OP70.INI
[2010.08.24 16:22:52 | 000,001,075 | ---- | M] () -- C:\WINDOWS\pstudio.ini
[2010.08.24 16:22:52 | 000,000,028 | ---- | M] () -- C:\WINDOWS\album.ini
[2010.08.24 16:21:27 | 000,000,010 | R--- | M] () -- C:\WINDOWS\PSTUDIO.SN
[2010.08.24 16:01:00 | 000,000,035 | ---- | M] () -- C:\WINDOWS\A4W.INI
[2010.08.24 16:00:47 | 000,000,572 | ---- | M] () -- C:\WINDOWS\maxlink.ini
[2010.08.19 21:25:55 | 000,086,067 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\599-013.jpg
[2010.08.19 16:17:24 | 029,482,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\setupDE82.exe
[2010.08.18 22:48:04 | 000,033,280 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.08.07 18:22:54 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.08.07 18:22:54 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.08.07 18:19:47 | 000,002,151 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Stream Catcher 2 FREE.lnk
[2010.08.07 18:13:41 | 000,000,528 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.08.05 22:35:59 | 000,186,742 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-5.jpg
[2010.08.05 22:35:55 | 000,142,311 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-4.jpg
[2010.08.05 22:35:51 | 000,162,193 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-3.jpg
[2010.08.05 22:35:46 | 000,187,289 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-2.jpg
[2010.08.05 22:35:41 | 000,225,110 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-1.jpg
[2010.08.04 19:50:21 | 000,000,264 | ---- | M] () -- C:\WINDOWS\System.ini
[2010.08.04 19:50:21 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.08.04 19:27:47 | 000,000,469 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2010.08.04 17:20:24 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\CCleaner.lnk
[2010.07.28 21:30:41 | 000,076,256 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\terasse.dwg
[2010.07.15 21:09:25 | 000,015,673 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\newtonsches näherungs.odt
[2010.06.24 21:21:09 | 000,000,146 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.06.24 21:18:57 | 001,043,216 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.24 21:18:57 | 000,458,476 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.24 21:18:57 | 000,440,684 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.24 21:18:57 | 000,084,318 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.24 21:18:57 | 000,071,002 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.06.24 20:47:55 | 000,000,157 | ---- | M] () -- C:\WINDOWS\UpTiDev.INI
[2010.06.22 19:06:07 | 000,000,940 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Arbeitsplatz.lnk
[2010.06.19 23:23:21 | 000,000,218 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2010.06.17 22:00:48 | 008,595,773 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Die Freundin erschrecken!.MP4
 
========== Files Created - No Company Name ==========
 
[2010.09.10 02:32:56 | 000,000,182 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2010.09.10 00:12:52 | 000,000,591 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\NTREGOPT.lnk
[2010.09.10 00:12:52 | 000,000,572 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ERUNT.lnk
[2010.09.10 00:06:28 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\defogger.exe
[2010.09.10 00:06:27 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Gmer.zip
[2010.09.10 00:05:57 | 000,388,197 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Load.exe
[2010.09.10 00:01:38 | 000,015,396 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\trojaner forum.odt
[2010.09.09 21:32:58 | 003,841,108 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2010.09.09 18:17:42 | 000,002,447 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.lnk
[2010.09.09 18:09:25 | 000,046,592 | -H-- | C] () -- C:\WINDOWS\mobstify.dll
[2010.09.09 18:09:21 | 000,000,024 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\apiqfw.dat
[2010.09.09 17:29:09 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.09 15:34:56 | 000,004,022 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer2.elfo
[2010.09.09 15:34:07 | 000,030,495 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer.pdf
[2010.09.09 15:16:24 | 000,044,702 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\steuer.elfo
[2010.09.09 15:05:13 | 000,000,711 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk
[2010.09.09 14:48:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Kxajuwone.bin
[2010.09.09 14:48:25 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Jludili.dat
[2010.09.09 14:46:45 | 000,585,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\dwamqkuj.sys
[2010.09.09 14:46:41 | 000,046,592 | -H-- | C] () -- C:\WINDOWS\System32\mobstify.dll
[2010.09.09 14:46:39 | 000,000,024 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\apiqfw.dat
[2010.09.08 18:18:27 | 000,011,390 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mischkreuzverfahren.odt
[2010.09.08 18:11:30 | 000,035,357 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\mischkreuzverfahren.pdf
[2010.09.07 17:41:55 | 000,654,570 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\75817_probe.pdf
[2010.09.07 01:52:08 | 000,730,102 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\statistik.bmp
[2010.09.02 18:45:41 | 002,491,416 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Hindenburgs Ansprache an die deutsche Jugend 01.05.1933.FLV
[2010.08.31 10:42:20 | 000,014,543 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\zeugnis noten.ods
[2010.08.24 16:21:27 | 000,000,010 | R--- | C] () -- C:\WINDOWS\PSTUDIO.SN
[2010.08.24 16:01:00 | 000,000,035 | ---- | C] () -- C:\WINDOWS\A4W.INI
[2010.08.24 16:00:47 | 000,000,572 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2010.08.24 16:00:12 | 000,000,022 | ---- | C] () -- C:\WINDOWS\OP70.INI
[2010.08.24 15:59:13 | 000,001,075 | ---- | C] () -- C:\WINDOWS\pstudio.ini
[2010.08.24 15:59:13 | 000,000,028 | ---- | C] () -- C:\WINDOWS\album.ini
[2010.08.24 15:59:13 | 000,000,021 | ---- | C] () -- C:\WINDOWS\Ps_setup.ini
[2010.08.19 23:19:09 | 038,372,518 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\flugblatt_dina6_8seiten.psd
[2010.08.19 21:25:55 | 000,086,067 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\599-013.jpg
[2010.08.19 16:16:50 | 029,482,472 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\setupDE82.exe
[2010.08.07 18:19:47 | 000,002,151 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Stream Catcher 2 FREE.lnk
[2010.08.05 22:35:59 | 000,186,742 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-5.jpg
[2010.08.05 22:35:54 | 000,142,311 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-4.jpg
[2010.08.05 22:35:50 | 000,162,193 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-3.jpg
[2010.08.05 22:35:45 | 000,187,289 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-2.jpg
[2010.08.05 22:35:41 | 000,225,110 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\hdMZH-1.jpg
[2010.08.04 17:20:24 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\CCleaner.lnk
[2010.08.02 16:46:30 | 000,000,032 | R--- | C] () -- C:\WINDOWS\hash.dat
[2010.07.28 21:05:20 | 000,076,256 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\terasse.dwg
[2010.07.26 00:14:26 | 000,001,475 | ---- | C] () -- C:\WINDOWS\mgas6.dat
[2010.07.18 19:41:50 | 000,632,832 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Notepad2.exe
[2010.07.15 21:09:24 | 000,015,673 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\newtonsches näherungs.odt
[2010.07.05 12:47:32 | 008,650,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat
[2010.06.24 21:21:09 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.06.24 20:51:16 | 000,000,360 | ---- | C] () -- C:\WINDOWS\tasks\WinMaximizer-Administrator-Startup.job
[2010.06.24 20:47:55 | 000,000,157 | ---- | C] () -- C:\WINDOWS\UpTiDev.INI
[2010.06.22 19:05:42 | 000,000,940 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Arbeitsplatz.lnk
[2010.06.21 21:16:32 | 008,595,773 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Die Freundin erschrecken!.MP4
[2010.06.19 23:23:21 | 000,000,218 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2010.05.07 00:34:18 | 001,704,776 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.12.01 20:01:38 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009.09.17 20:30:01 | 000,000,107 | ---- | C] () -- C:\WINDOWS\EasyCash.ini
[2009.09.17 20:29:51 | 000,000,221 | ---- | C] () -- C:\WINDOWS\EasyCT.INI
[2009.05.21 17:26:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Videodeluxe.INI
[2009.05.21 16:59:53 | 000,003,489 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2009.05.01 13:26:57 | 000,000,658 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009.05.01 00:41:10 | 000,000,097 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVSMediaPlayer.m3u
[2009.05.01 00:33:11 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.05.01 00:33:11 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.05.01 00:23:40 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.03.17 00:45:21 | 000,000,469 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.03.17 00:45:20 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2009.03.17 00:45:20 | 000,000,023 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2009.03.17 00:45:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2009.03.17 00:45:13 | 000,014,441 | ---- | C] () -- C:\WINDOWS\HL-5240.INI
[2009.03.16 16:14:10 | 000,033,280 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.03.15 20:00:55 | 000,000,848 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
[2009.03.07 13:54:40 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\winscp.rnd
[2008.11.05 11:42:45 | 000,062,400 | ---- | C] () -- C:\WINDOWS\System32\IFC.dll
[2008.11.05 11:41:56 | 000,422,848 | ---- | C] () -- C:\WINDOWS\System32\PPL.dll
[2008.04.14 14:00:00 | 000,199,168 | ---- | C] () -- C:\WINDOWS\ipadibot.dll
[2007.07.16 12:58:10 | 000,197,408 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2007.07.16 12:58:00 | 000,193,312 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
 
========== LOP Check ==========
 
[2010.09.10 02:48:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.purple
[2010.01.11 20:10:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Audacity
[2010.05.07 00:28:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Autodesk
[2010.08.24 18:41:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon
[2010.08.04 11:27:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CheckPoint
[2009.11.21 16:32:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DeepBurner
[2010.09.09 15:05:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\elsterformular
[2009.03.16 16:02:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FLV Extract
[2010.08.07 03:31:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GrabPro
[2010.08.05 16:04:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
[2010.03.31 14:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICAClient
[2009.05.07 00:04:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\KeePass
[2009.06.02 20:37:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MAGIX
[2009.04.04 20:04:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OLYMPUS
[2009.03.18 13:50:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
[2010.08.07 17:42:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Orbit
[2010.06.25 17:00:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PixelPlanet
[2010.08.07 03:31:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ProgSense
[2010.03.13 17:01:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Publish Providers
[2010.03.13 17:01:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony
[2010.08.07 14:59:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\streamripper
[2010.01.24 22:55:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
[2009.03.09 17:27:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TrueCrypt
[2010.08.04 16:56:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue
[2010.04.11 15:59:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\VEKA_D53A
[2010.08.04 20:46:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\YoudaGames
[2010.05.08 17:47:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2010.08.07 18:20:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DATA BECKER Downloads
[2010.09.09 15:05:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2009.12.28 22:19:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2009.05.21 17:08:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2009.03.07 14:16:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2010.06.25 17:00:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
[2010.03.13 16:49:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
[2010.08.08 21:29:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009.03.09 12:07:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrueCrypt
[2010.09.10 02:45:39 | 000,000,360 | ---- | M] () -- C:\WINDOWS\Tasks\WinMaximizer-Administrator-Startup.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2009.03.07 13:15:21 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2010.08.04 19:50:21 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2008.04.14 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2009.03.07 13:15:21 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2010.08.22 21:12:56 | 000,003,449 | ---- | M] () -- C:\InstallHelper.log
[2009.03.07 13:15:21 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2009.03.07 13:15:21 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2008.04.14 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.04.14 14:00:00 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2010.09.10 02:45:03 | 2145,386,496 | -HS- | M] () -- C:\pagefile.sys
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2009.03.07 13:15:03 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2008.07.06 14:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2008.07.06 12:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[2008.08.01 06:33:54 | 000,425,984 | R--- | M] (Advanced Micro Devices, Inc.) Unable to obtain MD5 -- C:\WINDOWS\system32\ATIDEMGX.dll
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2009.03.07 13:58:13 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2009.03.07 13:58:12 | 001,089,536 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2009.03.07 13:58:12 | 000,458,752 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 14:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 14:00:00 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 14:00:00 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:96EE29A3
< End of report >
--- --- ---


Anmerkung: Die Extras.txt habe ich nicht bekommen (habe bei OTL wie in der Beschreibung gefordert die scan.txt aus dem Ordner eingefügt )

------------------------------
Bevor ich die Beschreibung gefunden hatte, habe ich einen vollständigen Scan mit Malware gemacht. Vielleicht kann dieser weiterhelfen?

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4583

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

09.09.2010 21:07:01
mbam-log-2010-09-09 (21-07-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 231338
Laufzeit: 2 Stunde(n), 36 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP416\A0096746.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\WINDOWS\psenent.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\~TMF.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully.

markusg 10.09.2010 10:35
1. daten sichern, du wirst den pc neu aufsetzen müssen, aber vorher will ich mir noch was ansehen.
ich werde dir dann außerdem helfen das system richtig abzusichern. ein grund, aus dem du dich infiziert haben könntest könnte sein, das der updatezustand einiger programme zu wünschen übrig lässt.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Stabilo 10.09.2010 11:04
Hallo,
hört sich ja nicht gut an, die Antwort... Ich habe über die Forensuche einen ähnlichen Fall gefunden, dort konnte das Problem gelöst werden. Leider ist für mich nicht nachvollziehbar, worin sich die beiden Sachverhalte unterscheiden. (hier ist der andere Fall: trojaner-board.de/90397-20tans-onlinebanking-abfrage-mainzer-volksbank-trojaner-los-werden.html )

Besten Gruß

------------------------------------

Hier die Daten aus der ComboFix.txt:


Combofix Logfile:
Code:
ComboFix 10-09-09.03 - Administrator 10.09.2010  11:53:30.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1918.1491 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}\chrome.manifest
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{2C526EA5-B024-4E23-9DF8-0D274CB4FA95}\install.rdf
c:\windows\ipadibot.dll

----- Datei Replikatoren -----

c:\windows\Installer\{0A4A3165-7A7D-9DDB-4AB0-BF572A35BDCD}\ARPPRODUCTICON.exe
c:\windows\Installer\{1779A40B-32A0-17CD-A333-EC43482EC032}\ARPPRODUCTICON.exe
c:\windows\Installer\{1D450B93-A74E-236A-0D4F-6F7BDBB3FF66}\ARPPRODUCTICON.exe
c:\windows\Installer\{1EACFF7B-B5C2-827B-BB8A-C009A1F91443}\ARPPRODUCTICON.exe
c:\windows\Installer\{1FD9563C-377D-F78D-55DA-C9B396BFD986}\ARPPRODUCTICON.exe
c:\windows\Installer\{228D5F55-22E1-49EA-9E45-0FC7AFC5BD17}\ARPPRODUCTICON.exe
c:\windows\Installer\{22962997-40E1-811E-C348-4DF07A2A8B93}\ARPPRODUCTICON.exe
c:\windows\Installer\{28A25C46-CDE5-2C60-EE82-9567AB0B1D63}\ARPPRODUCTICON.exe
c:\windows\Installer\{2DC31EC1-A95E-F098-A9C1-A693FE34FB0E}\ARPPRODUCTICON.exe
c:\windows\Installer\{30E1A1E3-9623-FA27-19AE-6E53764F2C8C}\ARPPRODUCTICON.exe
c:\windows\Installer\{32680C18-53B0-B2C5-CEC7-0B05F68EC5BD}\ARPPRODUCTICON.exe
c:\windows\Installer\{3845118D-795E-F7A0-4B3A-FDE9BC5F29AB}\ARPPRODUCTICON.exe
c:\windows\Installer\{3CF279A4-8775-3AB6-F2FA-437B6ED68A03}\ARPPRODUCTICON.exe
c:\windows\Installer\{3E15EA58-582B-5390-ECE9-5B2DE54D0EEB}\ARPPRODUCTICON.exe
c:\windows\Installer\{403CF577-1198-B246-9DE2-9F971B957B4D}\ARPPRODUCTICON.exe
c:\windows\Installer\{4813D869-6CCB-C935-62B2-2A5B91809B20}\ARPPRODUCTICON.exe
c:\windows\Installer\{48D49587-AC1C-5AEA-6915-1ABB02730B81}\ARPPRODUCTICON.exe
c:\windows\Installer\{495DB8C6-3B3C-3B65-0ACC-B99D960B4F15}\ARPPRODUCTICON.exe
c:\windows\Installer\{4A436687-178F-55BB-E5F9-F02E79F3E694}\ARPPRODUCTICON.exe
c:\windows\Installer\{4B489319-800F-C813-33DE-EC0D159E0A9C}\ARPPRODUCTICON.exe
c:\windows\Installer\{52DD159B-D034-66EF-73C7-ACF8EB1F6D7A}\ARPPRODUCTICON.exe
c:\windows\Installer\{558EB6F8-47CB-FC23-6E87-5B60D31BB77B}\ARPPRODUCTICON.exe
c:\windows\Installer\{5918D0DB-E85F-A85C-7018-C2766296FE9F}\ARPPRODUCTICON.exe
c:\windows\Installer\{5E979482-A3E5-2514-4751-E9D829DA5D62}\ARPPRODUCTICON.exe
c:\windows\Installer\{5F28C5DF-1986-A030-C632-96BB6A2F671F}\ARPPRODUCTICON.exe
c:\windows\Installer\{74063E2A-779C-2468-3E42-336378473E68}\ARPPRODUCTICON.exe
c:\windows\Installer\{7DBB411A-BF70-6065-48DB-805280B124DA}\ARPPRODUCTICON.exe
c:\windows\Installer\{82888C2F-8EEC-DA00-03DC-BB428AE2ED70}\ARPPRODUCTICON.exe
c:\windows\Installer\{8738A2CA-31AC-FF9B-B185-11F4686CB384}\ARPPRODUCTICON.exe
c:\windows\Installer\{8DED8FBE-7FFA-6594-E496-A2C402B2FCD1}\ARPPRODUCTICON.exe
c:\windows\Installer\{93F70ECC-F010-E9A8-CFFC-0FCFCEA97E41}\ARPPRODUCTICON.exe
c:\windows\Installer\{94552885-D502-7606-DC5E-B41392F8E3A6}\ARPPRODUCTICON.exe
c:\windows\Installer\{96D0859C-A1AA-2EF6-7251-E27A038DF006}\ARPPRODUCTICON.exe
c:\windows\Installer\{9B74E2C0-8AE3-306B-4725-CF2F76F2D9AE}\ARPPRODUCTICON.exe
c:\windows\Installer\{9EAB625F-4993-003F-B502-966FD5C10134}\ARPPRODUCTICON.exe
c:\windows\Installer\{A1DE571E-6309-ECB1-37E8-8E5AD2A1ED3C}\ARPPRODUCTICON.exe
c:\windows\Installer\{A5E25BA5-21FD-3D88-AABC-64794C5E2B3D}\ARPPRODUCTICON.exe
c:\windows\Installer\{A96B7070-6499-3A6F-EF08-63F790843E82}\ARPPRODUCTICON.exe
c:\windows\Installer\{B071ACE5-8365-2F61-615B-26CB442FB2F3}\ARPPRODUCTICON.exe
c:\windows\Installer\{B38090CD-6615-C86C-FF35-E71395232E19}\ARPPRODUCTICON.exe
c:\windows\Installer\{BF3839CA-3FEA-E7BA-72D8-EA51CD8E8BC6}\ARPPRODUCTICON.exe
c:\windows\Installer\{C7A22760-E402-C335-5CC1-1633F286ED0B}\ARPPRODUCTICON.exe
c:\windows\Installer\{C9F972A2-C52A-4DD6-4684-A65BF4D2E522}\ARPPRODUCTICON.exe
c:\windows\Installer\{CAFB9E4A-2C50-A16B-5082-8ECF4F4C4305}\ARPPRODUCTICON.exe
c:\windows\Installer\{D11421F5-717F-142D-76E6-A038E6A9D3F5}\ARPPRODUCTICON.exe
c:\windows\Installer\{D6A648D2-7837-30E0-4179-2848D7F870C2}\ARPPRODUCTICON.exe
c:\windows\Installer\{E3D3FA5D-0AAE-7861-5C49-9EA1B6BA3D07}\ARPPRODUCTICON.exe
c:\windows\Installer\{E9184AE4-B480-9455-7682-AD236D06729C}\ARPPRODUCTICON.exe
c:\windows\Installer\{F10B8DD1-1E94-8689-93AA-9441BAEAFF23}\ARPPRODUCTICON.exe
c:\windows\Installer\{F7321CA4-91BF-14D4-29B6-148E67FF51A5}\ARPPRODUCTICON.exe
c:\windows\Installer\{F7FA3D60-D9AC-96C7-E7C0-D02C39830B0F}\ARPPRODUCTICON.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2010-08-10 bis 2010-09-10  ))))))))))))))))))))))))))))))
.

2010-09-10 00:46 . 2010-09-10 00:46        2303        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.purple\certificates\x509\tls_peers\omega.contacts.msn.com
2010-09-09 22:12 . 2010-09-09 22:12        --------        d-----w-        c:\programme\ERUNT
2010-09-09 16:17 . 2010-09-09 16:17        388096        ----a-r-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-09 16:17 . 2010-09-09 16:17        --------        d-----w-        c:\programme\Trend Micro
2010-09-09 16:09 . 2010-09-09 16:09        46592        ---ha-w-        c:\windows\mobstify.dll
2010-09-09 15:29 . 2010-09-09 15:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-09-09 15:29 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-09 15:29 . 2010-09-09 15:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-09 15:29 . 2010-09-09 15:29        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-09-09 15:29 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-09-09 15:27 . 2010-09-09 15:27        503808        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\msvcp71.dll
2010-09-09 15:27 . 2010-09-09 15:27        499712        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\jmc.dll
2010-09-09 15:27 . 2010-09-09 15:27        348160        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\msvcr71.dll
2010-09-09 15:27 . 2010-09-09 15:27        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-09-09 15:27 . 2010-09-09 15:27        61440        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a0b00d-n\decora-sse.dll
2010-09-09 15:27 . 2010-09-09 15:27        12800        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a0b00d-n\decora-d3d.dll
2010-09-09 15:27 . 2010-07-17 03:00        423656        ----a-w-        c:\windows\system32\deployJava1.dll
2010-09-09 15:01 . 2010-09-09 15:01        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-09-09 13:05 . 2010-09-09 13:05        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\elsterformular
2010-09-09 13:05 . 2010-09-09 13:05        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular
2010-09-09 13:04 . 2010-09-09 13:05        --------        d-----w-        c:\programme\ElsterFormular
2010-09-09 12:58 . 2010-08-05 00:14        875296        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\JRERunOnce.exe
2010-09-09 12:48 . 2010-09-09 22:09        0        ----a-w-        c:\windows\Kxajuwone.bin
2010-09-09 12:48 . 2010-09-10 09:32        120        ----a-w-        c:\windows\Jludili.dat
2010-09-09 12:46 . 2010-09-10 09:55        585504        ----a-w-        c:\windows\system32\drivers\dwamqkuj.sys
2010-09-09 12:46 . 2010-09-09 12:46        46592        ---ha-w-        c:\windows\system32\mobstify.dll
2010-09-03 18:16 . 2010-09-09 21:13        --------        d-----w-        c:\windows\system32\NtmsData
2010-09-03 18:13 . 2010-09-03 18:13        --------        d-----w-        c:\programme\Avira
2010-09-03 18:13 . 2010-09-03 18:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-09-03 18:13 . 2010-03-01 08:05        124784        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-09-03 18:13 . 2010-02-16 12:24        60936        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-09-03 18:13 . 2009-05-11 10:49        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys
2010-09-03 18:13 . 2009-05-11 10:49        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys
2010-08-24 16:26 . 2010-08-24 16:41        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Canon
2010-08-24 16:18 . 2008-04-13 22:15        15104        -c--a-w-        c:\windows\system32\dllcache\usbscan.sys
2010-08-24 16:18 . 2008-04-13 22:15        15104        ----a-w-        c:\windows\system32\drivers\usbscan.sys
2010-08-24 14:05 . 2010-08-24 14:05        --------        d-----w-        c:\programme\Canon
2010-08-24 14:01 . 2010-08-24 14:01        --------        d-----w-        c:\windows\A4W_DATA
2010-08-24 13:59 . 1998-10-16 07:45        44032        ----a-w-        c:\windows\OP9Deins.exe
2010-08-24 13:59 . 1998-10-12 16:13        97280        ----a-w-        c:\windows\system32\opshel32.dll
2010-08-24 13:59 . 1998-10-12 16:08        299520        ----a-w-        c:\windows\Uninsop9.exe
2010-08-24 13:59 . 2010-08-24 14:00        --------        d-----w-        c:\windows\Pixtran
2010-08-24 13:59 . 2010-08-24 14:00        --------        d-----w-        c:\programme\Gemeinsame Dateien\Caere
2010-08-24 13:59 . 2010-08-24 13:59        --------        d-----w-        c:\programme\Caere
2010-08-24 13:59 . 1997-04-08 18:08        299520        ----a-w-        c:\windows\uninst.exe
2010-08-24 13:59 . 1995-07-31 11:44        212480        ----a-w-        c:\windows\PCDLIB32.DLL
2010-08-24 13:59 . 2010-08-24 13:59        --------        d-----w-        c:\programme\ArcSoft
2010-08-24 13:35 . 2002-03-06 16:35        122880        ----a-w-        c:\windows\system32\N065UUD.DLL
2010-08-24 13:35 . 2000-01-06 18:05        318976        ----a-w-        c:\windows\system32\UCS32P.DLL
2010-08-24 13:35 . 2002-03-06 18:25        323584        ----a-w-        c:\windows\system32\N065UFW.dll
2010-08-24 13:35 . 2000-04-28 04:07        28718        ----a-w-        c:\windows\system32\N065UCPL.DLL
2010-08-24 13:26 . 1998-10-29 14:45        306688        ----a-w-        c:\windows\IsUninst.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-10 09:45 . 2009-03-09 09:24        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.purple
2010-09-10 00:52 . 2009-03-18 11:51        1        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-09 19:11 . 2009-03-07 12:08        489000        ----a-w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-09 17:03 . 2009-04-04 18:24        --------        d-----w-        c:\programme\Mozilla Thunderbird
2010-09-09 16:09 . 2010-09-09 16:09        24        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\apiqfw.dat
2010-09-09 15:26 . 2009-03-24 17:32        --------        d-----w-        c:\programme\Java
2010-09-09 12:46 . 2010-09-09 12:46        24        ----a-w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\apiqfw.dat
2010-09-08 18:32 . 2009-03-15 17:52        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2010-08-22 19:14 . 2010-08-07 16:20        --------        d-----w-        c:\programme\ProtectDisc
2010-08-19 22:53 . 2010-05-06 22:34        1704776        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-08 19:29 . 2010-08-04 18:46        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-08-07 16:20 . 2010-08-07 16:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DATA BECKER Downloads
2010-08-07 16:20 . 2010-08-07 16:19        --------        d-----w-        c:\programme\Gemeinsame Dateien\DATA BECKER Shared
2010-08-07 16:20 . 2010-08-07 16:20        --------        d-----w-        c:\programme\ProtectDisc Driver Installer
2010-08-07 16:19 . 2010-08-07 16:19        --------        d-----w-        c:\programme\Windows Media Components
2010-08-07 16:19 . 2010-08-07 16:19        --------        d-----w-        c:\programme\DATA BECKER
2010-08-07 16:13 . 2010-08-07 16:13        --------        d-----w-        c:\programme\Windows Media Connect 2
2010-08-07 15:42 . 2010-08-07 12:59        --------        d-----w-        c:\programme\Streamripper
2010-08-07 15:42 . 2010-08-07 01:31        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Orbit
2010-08-07 12:59 . 2010-08-07 12:59        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\streamripper
2010-08-07 01:31 . 2010-08-07 01:31        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ProgSense
2010-08-07 01:31 . 2010-08-07 01:31        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GrabPro
2010-08-05 14:04 . 2009-03-15 20:18        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2010-08-04 18:46 . 2010-08-04 18:46        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\YoudaGames
2010-08-04 15:43 . 2010-08-04 15:41        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\.purple
2010-08-04 15:41 . 2010-08-04 15:41        489000        ----a-w-        c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-04 15:41 . 2010-08-04 15:41        --------        d-----w-        c:\dokumente und einstellungen\Admin\Anwendungsdaten\ATI
2010-08-04 15:20 . 2010-08-04 15:20        --------        d-----w-        c:\programme\CCleaner
2010-08-04 15:15 . 2010-08-04 15:15        --------        d-----w-        c:\programme\Conduit
2010-08-04 14:56 . 2010-08-04 14:56        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Uniblue
2010-08-04 12:23 . 2010-08-04 16:15        185136        ----a-w-        c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2010-08-04 09:27 . 2010-08-04 09:27        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\CheckPoint
2010-07-25 22:32 . 2010-07-25 22:32        --------        d-----w-        c:\programme\Animake
2010-06-25 15:27 . 2008-08-14 06:57        73312        ----a-w-        c:\windows\system32\drivers\adfs.sys
2010-06-24 19:21 . 2010-06-24 19:21        146        ----a-w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-06-24 19:18 . 2008-04-14 12:00        84318        ----a-w-        c:\windows\system32\perfc007.dat
2010-06-24 19:18 . 2008-04-14 12:00        458476        ----a-w-        c:\windows\system32\perfh007.dat
2009-07-29 13:40 . 2010-04-03 15:07        605184        ----a-w-        c:\programme\mozilla firefox\plugins\beanspruchung.dll
2009-07-24 12:40 . 2010-04-03 15:07        25600        ----a-w-        c:\programme\mozilla firefox\plugins\borlndmm.dll
2009-07-24 12:40 . 2010-04-03 15:07        1500160        ----a-w-        c:\programme\mozilla firefox\plugins\cc3260mt.dll
2009-07-29 13:39 . 2010-04-03 15:07        713216        ----a-w-        c:\programme\mozilla firefox\plugins\gemeinden_italy.dll
2009-07-29 13:38 . 2010-04-03 15:07        1982464        ----a-w-        c:\programme\mozilla firefox\plugins\mdview3d.dll
2009-07-24 12:42 . 2010-04-03 15:07        288256        ----a-w-        c:\programme\mozilla firefox\plugins\scprint_bc.dll
2009-07-24 12:42 . 2010-04-03 15:07        101376        ----a-w-        c:\programme\mozilla firefox\plugins\sctbcolordlg_bc.dll
2009-07-29 13:38 . 2010-04-03 15:07        3534336        ----a-w-        c:\programme\mozilla firefox\plugins\scviewer.dll
2009-07-24 12:40 . 2010-04-03 15:07        618496        ----a-w-        c:\programme\mozilla firefox\plugins\stlpmt45.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueCrypt"="c:\programme\TrueCrypt\TrueCrypt.exe" [2009-03-07 1353408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2010-06-25 611712]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-03-09 37888]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-04-04 77824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-05 198160]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
monmvr32.exe [2008-4-14 30208]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Pidgin.lnk - c:\programme\Pidgin\pidgin.exe [2009-3-2 45603]
VPN Client.lnk - c:\windows\Installer\{14FCFE7C-AB86-428A-9D2E-BFB6F5A7AA6E}\Icon3E5562ED7.ico [2009-11-6 6144]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Pidgin\\pidgin.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\WinSCP\\WinSCP.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"1036:TCP"= 1036:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [21.05.2009 17:11 99840]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 07:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.09.2010 20:13 135336]
R2 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [07.08.2010 18:20 187456]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22.11.2009 16:16 722416]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - dwamqkuj
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = iexplore
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2131209&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - netzradio-germania Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://ebay.de
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npProfilRechercheInetCtrl.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)
Toolbar-{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - (no file)
HKLM-Run-DriverCD - D:\Run.exe
HKLM-Run-Dmefilakiza - c:\windows\ipadibot.dll



**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dwamqkuj]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1004)
c:\windows\system32\Ati2evxx.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
Zeit der Fertigstellung: 2010-09-10  11:56:47
ComboFix-quarantined-files.txt  2010-09-10 09:56

Vor Suchlauf: 9 Verzeichnis(se), 181.816.864.768 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 181.779.841.024 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - DD32637736D8400BFF9EE461A954BE0F
--- --- ---

markusg 10.09.2010 11:13
hi, ich würde mit nem einmal infizierten pc nie wieder online banking machen, wenns doch mal n neues problem gibt, wir den pc nicht mehr auf den ursprünglichen stand bringen können, etc ist das geld vllt doch mal weg. wenn du das risiko eingehen willst solls mir recht sein aber ich rate davon ab.
wie gesagt, 1 mal in den sauren apfel beißen, dann pc sicher machen und dann hoffendlich für immer ruhe.
ich sehe hier noch dateien, die ich gern einsammeln möchte, um sie den antivirus herstellern zukommen zu lassen

Start programme zubehör, editor, kopiere rein:

Killall::
Rootkit::
c:\windows\mobstify.dll
c:\windows\Kxajuwone.bin
c:\windows\Jludili.dat
c:\windows\system32\drivers\dwamqkuj.sys
c:\windows\system32\mobstify.dll
Driver::
dwamqkuj
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dwamqkuj]

Datei speichern unter, ort, dort wo sich combofix.exe befindet, typ, alle dateien, name cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.

Stabilo 10.09.2010 11:44
Wie mache ich das denn am besten mit dem Datensichern? Kann ich z.B. einfach alle Dateien, die ich für notwendig halte auf ne externe Festplatte machen und diese dann wieder nutzen, wenn ich das System neu aufgebaut habe? Der Trojaner kann sich da nicht einschleichen? Nicht dass ich den dann wieder habe...


Hier die neuen Daten.
Code:
ComboFix 10-09-09.03 - Administrator 10.09.2010  12:20:47.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1918.1480 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

----- Datei Replikatoren -----

c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP353\A0086264.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098984.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098985.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098986.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098987.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098988.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098989.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098990.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098991.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098992.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098993.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098994.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098995.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098996.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098997.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098998.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0098999.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099000.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099001.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099002.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099003.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099004.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099005.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099006.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099007.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099008.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099009.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099010.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099011.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099012.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099013.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099014.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099015.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099016.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099017.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099018.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099019.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099020.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099021.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099022.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099023.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099024.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099025.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099026.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099027.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099028.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099029.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099030.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099031.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099032.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099033.exe
c:\system volume information\_restore{13408948-667B-4735-99E4-32E9ECD119DD}\RP418\A0099034.exe
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DWAMQKUJ
-------\Service_dwamqkuj


(((((((((((((((((((((((  Dateien erstellt von 2010-08-10 bis 2010-09-10  ))))))))))))))))))))))))))))))
.

2010-09-10 10:06 . 2010-09-10 10:06    2157    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.purple\certificates\x509\tls_peers\omega.contacts.msn.com
2010-09-09 22:12 . 2010-09-09 22:12    --------    d-----w-    c:\programme\ERUNT
2010-09-09 16:17 . 2010-09-09 16:17    388096    ----a-r-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-09 16:17 . 2010-09-09 16:17    --------    d-----w-    c:\programme\Trend Micro
2010-09-09 15:29 . 2010-09-09 15:29    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-09-09 15:29 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-09 15:29 . 2010-09-09 15:29    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-09 15:29 . 2010-09-09 15:29    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-09 15:29 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-09 15:27 . 2010-09-09 15:27    503808    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\msvcp71.dll
2010-09-09 15:27 . 2010-09-09 15:27    499712    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\jmc.dll
2010-09-09 15:27 . 2010-09-09 15:27    348160    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1cff639b-n\msvcr71.dll
2010-09-09 15:27 . 2010-09-09 15:27    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-09-09 15:27 . 2010-09-09 15:27    61440    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a0b00d-n\decora-sse.dll
2010-09-09 15:27 . 2010-09-09 15:27    12800    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a0b00d-n\decora-d3d.dll
2010-09-09 15:27 . 2010-07-17 03:00    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-09-09 15:01 . 2010-09-09 15:01    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-09-09 13:05 . 2010-09-09 13:05    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\elsterformular
2010-09-09 13:05 . 2010-09-09 13:05    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular
2010-09-09 13:04 . 2010-09-09 13:05    --------    d-----w-    c:\programme\ElsterFormular
2010-09-09 12:58 . 2010-08-05 00:14    875296    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\JRERunOnce.exe
2010-09-03 18:16 . 2010-09-09 21:13    --------    d-----w-    c:\windows\system32\NtmsData
2010-09-03 18:13 . 2010-09-03 18:13    --------    d-----w-    c:\programme\Avira
2010-09-03 18:13 . 2010-09-03 18:13    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-09-03 18:13 . 2010-03-01 08:05    124784    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2010-09-03 18:13 . 2010-02-16 12:24    60936    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2010-09-03 18:13 . 2009-05-11 10:49    45416    ----a-w-    c:\windows\system32\drivers\avgntdd.sys
2010-09-03 18:13 . 2009-05-11 10:49    22360    ----a-w-    c:\windows\system32\drivers\avgntmgr.sys
2010-08-24 16:26 . 2010-08-24 16:41    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Canon
2010-08-24 16:18 . 2008-04-13 22:15    15104    -c--a-w-    c:\windows\system32\dllcache\usbscan.sys
2010-08-24 16:18 . 2008-04-13 22:15    15104    ----a-w-    c:\windows\system32\drivers\usbscan.sys
2010-08-24 14:05 . 2010-08-24 14:05    --------    d-----w-    c:\programme\Canon
2010-08-24 14:01 . 2010-08-24 14:01    --------    d-----w-    c:\windows\A4W_DATA
2010-08-24 13:59 . 1998-10-16 07:45    44032    ----a-w-    c:\windows\OP9Deins.exe
2010-08-24 13:59 . 1998-10-12 16:13    97280    ----a-w-    c:\windows\system32\opshel32.dll
2010-08-24 13:59 . 1998-10-12 16:08    299520    ----a-w-    c:\windows\Uninsop9.exe
2010-08-24 13:59 . 2010-08-24 14:00    --------    d-----w-    c:\windows\Pixtran
2010-08-24 13:59 . 2010-08-24 14:00    --------    d-----w-    c:\programme\Gemeinsame Dateien\Caere
2010-08-24 13:59 . 2010-08-24 13:59    --------    d-----w-    c:\programme\Caere
2010-08-24 13:59 . 1997-04-08 18:08    299520    ----a-w-    c:\windows\uninst.exe
2010-08-24 13:59 . 1995-07-31 11:44    212480    ----a-w-    c:\windows\PCDLIB32.DLL
2010-08-24 13:59 . 2010-08-24 13:59    --------    d-----w-    c:\programme\ArcSoft
2010-08-24 13:35 . 2002-03-06 16:35    122880    ----a-w-    c:\windows\system32\N065UUD.DLL
2010-08-24 13:35 . 2000-01-06 18:05    318976    ----a-w-    c:\windows\system32\UCS32P.DLL
2010-08-24 13:35 . 2002-03-06 18:25    323584    ----a-w-    c:\windows\system32\N065UFW.dll
2010-08-24 13:35 . 2000-04-28 04:07    28718    ----a-w-    c:\windows\system32\N065UCPL.DLL
2010-08-24 13:26 . 1998-10-29 14:45    306688    ----a-w-    c:\windows\IsUninst.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-10 10:28 . 2009-03-09 09:24    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.purple
2010-09-10 00:52 . 2009-03-18 11:51    1    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-09 19:11 . 2009-03-07 12:08    489000    ----a-w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-09 17:03 . 2009-04-04 18:24    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-09-09 16:09 . 2010-09-09 16:09    24    ----a-w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\apiqfw.dat
2010-09-09 15:26 . 2009-03-24 17:32    --------    d-----w-    c:\programme\Java
2010-09-09 12:46 . 2010-09-09 12:46    24    ----a-w-    c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\apiqfw.dat
2010-09-08 18:32 . 2009-03-15 17:52    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2010-08-22 19:14 . 2010-08-07 16:20    --------    d-----w-    c:\programme\ProtectDisc
2010-08-19 22:53 . 2010-05-06 22:34    1704776    ----a-w-    c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-08 19:29 . 2010-08-04 18:46    --------    d---a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-08-07 16:20 . 2010-08-07 16:20    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\DATA BECKER Downloads
2010-08-07 16:20 . 2010-08-07 16:19    --------    d-----w-    c:\programme\Gemeinsame Dateien\DATA BECKER Shared
2010-08-07 16:20 . 2010-08-07 16:20    --------    d-----w-    c:\programme\ProtectDisc Driver Installer
2010-08-07 16:19 . 2010-08-07 16:19    --------    d-----w-    c:\programme\Windows Media Components
2010-08-07 16:19 . 2010-08-07 16:19    --------    d-----w-    c:\programme\DATA BECKER
2010-08-07 16:13 . 2010-08-07 16:13    --------    d-----w-    c:\programme\Windows Media Connect 2
2010-08-07 15:42 . 2010-08-07 12:59    --------    d-----w-    c:\programme\Streamripper
2010-08-07 15:42 . 2010-08-07 01:31    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Orbit
2010-08-07 12:59 . 2010-08-07 12:59    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\streamripper
2010-08-07 01:31 . 2010-08-07 01:31    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ProgSense
2010-08-07 01:31 . 2010-08-07 01:31    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GrabPro
2010-08-05 14:04 . 2009-03-15 20:18    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2010-08-04 18:46 . 2010-08-04 18:46    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\YoudaGames
2010-08-04 15:43 . 2010-08-04 15:41    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\.purple
2010-08-04 15:41 . 2010-08-04 15:41    489000    ----a-w-    c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-04 15:41 . 2010-08-04 15:41    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\ATI
2010-08-04 15:20 . 2010-08-04 15:20    --------    d-----w-    c:\programme\CCleaner
2010-08-04 15:15 . 2010-08-04 15:15    --------    d-----w-    c:\programme\Conduit
2010-08-04 14:56 . 2010-08-04 14:56    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Uniblue
2010-08-04 12:23 . 2010-08-04 16:15    185136    ----a-w-    c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2010-08-04 09:27 . 2010-08-04 09:27    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\CheckPoint
2010-07-25 22:32 . 2010-07-25 22:32    --------    d-----w-    c:\programme\Animake
2010-06-25 15:27 . 2008-08-14 06:57    73312    ----a-w-    c:\windows\system32\drivers\adfs.sys
2010-06-24 19:21 . 2010-06-24 19:21    146    ----a-w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-06-24 19:18 . 2008-04-14 12:00    84318    ----a-w-    c:\windows\system32\perfc007.dat
2010-06-24 19:18 . 2008-04-14 12:00    458476    ----a-w-    c:\windows\system32\perfh007.dat
2009-07-29 13:40 . 2010-04-03 15:07    605184    ----a-w-    c:\programme\mozilla firefox\plugins\beanspruchung.dll
2009-07-24 12:40 . 2010-04-03 15:07    25600    ----a-w-    c:\programme\mozilla firefox\plugins\borlndmm.dll
2009-07-24 12:40 . 2010-04-03 15:07    1500160    ----a-w-    c:\programme\mozilla firefox\plugins\cc3260mt.dll
2009-07-29 13:39 . 2010-04-03 15:07    713216    ----a-w-    c:\programme\mozilla firefox\plugins\gemeinden_italy.dll
2009-07-29 13:38 . 2010-04-03 15:07    1982464    ----a-w-    c:\programme\mozilla firefox\plugins\mdview3d.dll
2009-07-24 12:42 . 2010-04-03 15:07    288256    ----a-w-    c:\programme\mozilla firefox\plugins\scprint_bc.dll
2009-07-24 12:42 . 2010-04-03 15:07    101376    ----a-w-    c:\programme\mozilla firefox\plugins\sctbcolordlg_bc.dll
2009-07-29 13:38 . 2010-04-03 15:07    3534336    ----a-w-    c:\programme\mozilla firefox\plugins\scviewer.dll
2009-07-24 12:40 . 2010-04-03 15:07    618496    ----a-w-    c:\programme\mozilla firefox\plugins\stlpmt45.dll
.

(((((((((((((((((((((((((((((  SnapShot@2010-09-10_09.55.53  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-10 10:25 . 2010-09-10 10:25    16384              c:\windows\temp\Perflib_Perfdata_1e8.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueCrypt"="c:\programme\TrueCrypt\TrueCrypt.exe" [2009-03-07 1353408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2010-06-25 611712]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-03-09 37888]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-04-04 77824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-05 198160]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
monmvr32.exe [2008-4-14 30208]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Pidgin.lnk - c:\programme\Pidgin\pidgin.exe [2009-3-2 45603]
VPN Client.lnk - c:\windows\Installer\{14FCFE7C-AB86-428A-9D2E-BFB6F5A7AA6E}\Icon3E5562ED7.ico [2009-11-6 6144]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Pidgin\\pidgin.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\WinSCP\\WinSCP.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"1036:TCP"= 1036:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [21.05.2009 17:11 99840]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 07:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.09.2010 20:13 135336]
R2 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [07.08.2010 18:20 187456]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22.11.2009 16:16 722416]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = iexplore
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2131209&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - netzradio-germania Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://ebay.de
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\y6bl0l5v.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPPDLicenseHelper.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npProfilRechercheInetCtrl.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-10 12:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1012)
c:\windows\system32\Ati2evxx.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(3772)
c:\windows\system32\AcSignIcon.dll
c:\programme\Gemeinsame Dateien\Autodesk Shared\AcSignCore16.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\RTHDCPL.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-10  12:30:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-10 10:30
ComboFix2.txt  2010-09-10 09:56

Vor Suchlauf: 9 Verzeichnis(se), 181.782.290.432 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 181.693.079.552 Bytes frei

- - End Of File - - A51917D315AE4B77FBE7E35AAE5D6A38

markusg 10.09.2010 11:47
genau das kannst du so machen.
bitte erst mal nen rechtsklick auf den avira schirm, guard deaktivieren.
dann öffne den arbeitsplatz, dort c: dann wähle qoobox aus, rechtsklick und zu qoobox.rar oder zip hinzufügen, dass archiv bitte hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

Stabilo 10.09.2010 12:00
Datei ist hochgeladen. Ich werde dann wohl meine Daten sichern müssen.

Den Trojaner habe ich doch als Datei auf dem Rechner, wie kann ich denn sicher sein, dass ich den nicht mit kopiere? Vielleicht verstehe ich den Sachverhalt auch falsch;-)

markusg 10.09.2010 12:12
der trojaner befindet sich aber nicht unter eigene dateien usw. du kannst also dokumente etc kopieren.
danach formatierst du den pc, bitte aber nicht die schnelle formatierung wählen.
dann besuchst du die windows update seite, da bitte servicepack 3 + alle sonstigen wichtigen updates aufspielen, auch den internet explorer 8.

http://www.trojaner-board.de/54192-a...tellungen.html
1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

Die folgenden konfigurationen als admin ausführen:
2. dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.
3. avira:
http://www.trojaner-board.de/54192-a...tellungen.html
4. als browser den firefox nutzen:
Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe
5. als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-noscript//
6.

adblock+ um werbung zu blockieren:
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Adblock Plus: Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

7.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
Sandboxie Download
anleitung:
drop.io
(als pdf)
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 25 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sandbox surfen bitte.
8. autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
9. um deine software aktuell zu halten, instaliere secunia.
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der urh auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
10.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
so ab jetzt nur noch im standard nutzerkonto arbeiten und dort nur noch in der sandbox surfen.
klicke dazu auf "sandboxed web browser".
11. passwörter endern.

Stabilo 17.09.2010 19:47
So, der Rechner ist platt gemacht. Werde die Tage eine neue Version von Windows installieren und hoffen, dass die Probleme weg sind. markusg, vielen Dank für die gute Hilfe!

markusg 17.09.2010 19:51
ok, und die tipps alle konsequent umsetzen

Stabilo 17.09.2010 20:07
Nochmal eine kurze Frage. Die aufgeführten Tipps kann ich auch einfach auf einem weiteren Rechner umsetzen, oder? Sollte ich diesen vorher auch umfangreich prüfen oder kann die Tipps dort nach und nach abarbeiten?

markusg 17.09.2010 20:10
wenn es ein xp pc ist, dann geht das mit der uac und sehop nicht.
wenn auf dem pc kein verdacht besteht kannst du das umsetzen, die tipps gelten für jeder mann :-)


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19