Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Aleuron.EC und BDS/TDSS.TF.1 (https://www.trojaner-board.de/90822-tr-aleuron-ec-bds-tdss-tf-1-a.html)

Kilmarnock 15.09.2010 20:24
TR/Aleuron.EC und BDS/TDSS.TF.1
 
Ich konnte diverse Seiten im Internet nicht mehr aufrufen, wurde auf komische Seiten (z.b. armyreservecenter) weitergeleitet, ausserdem konnte ich meine Mails via Outlook nicht mehr abrufen und natürlich mein Avira AntiVir nicht mehr updaten.

Ein erster Antivir-Scan war noch erfolglos, aber der zweite brachte dann eben TR/Aleuron.EC und BDS/TDSS.TF.1 zu Tage. Ich habe diese nun in Quarantäne geschickt und ein weiterer Suchlauf zeigte keine Viren mehr an. Ich wollte mir nun malwarebytes runterladen, konnte aber die HP nach wie vor nicht anwählen. Da war mir klar, dass nach wie vor ein Problem besteht. Ich konnte mir dann gestern malwarebytes via filepony runterladen, aber ein update war nicht möglich. Der Vollscan brachte 3 infizierte Dateiobjekte (siehe unten)

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

15.09.2010 21:01:38
mbam-log-2010-09-15 (21-01-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 170658
Laufzeit: 52 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.185,93.188.166.185 -> Not selected for removal.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{26b0fa9e-176b-4856-9993-99d517a7c379}\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.185,93.188.166.185 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{59c49fcb-1fc9-4849-9305-4182034288c8}\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.185,93.188.166.185 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Leider habe ich das oberste nicht ausgewählt und gelöscht, werde das jetzt aber mit einem weiteren Suchlauf noch machen.

Wie muss ich nachher weiter vorgehen? Kann mir bitte jemand helfen?

Besten Dank im voraus

cosinus 15.09.2010 20:35
Malwarebytes bitte mal so starten => http://www.trojaner-board.de/82699-m...tet-nicht.html
Probier da das Update. Ohne die Updates ist Malwarebytes fast nutzlos.

Kilmarnock 16.09.2010 07:18
ich musste es sowieso umbenennen auf .com, dass ich überhaupt starten konnte, aber ich werde es also noch mit dem OTHelper probieren.
Komme aber wohl erst morgen abend dazu

Kilmarnock 20.09.2010 20:31
endlich habe ich es geschafft, Malwarebytes zu updaten. Hier das Resultat

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4645

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

18.09.2010 17:59:33
mbam-log-2010-09-18 (17-59-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 189977
Laufzeit: 1 Stunde(n), 4 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.185,93.188.166.185 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
das gefundene Teil habe ich entfernt. Was soll ich als nächstes machen?

cosinus 20.09.2010 21:23
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Kilmarnock 24.09.2010 21:04
gibts noch eine andere Version von OTL?
ich erhalte die Fehlermeldung "ist keine zulässige Win32-Anwendung"

cosinus 25.09.2010 17:26
Probiers mit dieser umbenannten Version => File-Upload.net - win.exe

Kilmarnock 27.09.2010 19:20
leider erhalte ich auch damit die Fehlermeldung "ist keine zulässige Win32-Anwendung"

cosinus 27.09.2010 22:40
Dann können wir gleich mit CF ran. Wenn das auch nicht geht, bleiben nicht mehr viele Möglichkeiten.


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kilmarnock 28.09.2010 21:27
Besten Dank für Deine Geduld, Cosinus
ComboFix ist durchgelaufen. Hier das Logfile
Combofix Logfile:
Code:
ComboFix 10-09-27.05 - Thomas 28.09.2010  22:07:36.1.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.41.1031.18.191.28 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FC-0D24-347CA8A3377C}
 * Im Speicher befindliches AV aktiv.


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\test.txt
c:\windows\system\DivXa32.acm
c:\windows\system\MSG711.ACM

Infizierte Kopie von c:\windows\system32\drivers\disk.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
(((((((((((((((((((((((  Dateien erstellt von 2010-08-28 bis 2010-09-28  ))))))))))))))))))))))))))))))
.

2010-09-27 18:30 . 2010-09-27 18:30        --------        d-----w-        c:\windows\system32\NtmsData
2010-09-14 20:21 . 2010-09-14 20:21        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-09-14 19:43 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-14 19:41 . 2010-09-14 19:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-14 19:41 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-09-14 19:40 . 2010-09-14 19:40        --------        d-----w-        C:\Malwarebytes' Anti-Malware
2010-09-13 16:44 . 2010-09-13 16:44        --------        d-----w-        c:\windows\BDOSCAN8
2010-08-30 17:22 . 2010-08-30 17:23        --------        d-----w-        C:\spoolerlogs

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-17 13:17 . 1979-12-31 22:00        58880        ----a-w-        c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 1979-12-31 22:00        590848        ----a-w-        c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll
2005-10-23 09:59 . 2005-10-23 09:59        16384        ------w-        c:\programme\ltmoh
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2004-08-06 32768]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2004-07-15 49152]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2004-01-28 184320]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-09-08 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2004-08-13 73728]
"VTTrayp"="VTtrayp.exe" [2004-06-22 143360]
"VTTimer"="VTTimer.exe" [2004-09-01 53248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-13 4141056]
"AGRSMMSG"="AGRSMMSG.exe" [2003-07-25 88363]
"PCMService"="c:\program files\Arcade\PCMService.exe" [2004-08-27 81920]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-05-18 149280]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-06-28 32768]
"{1290A33C-85F5-4164-A1BE-7DD299D4986A}"="c:\programme\CyberLink\PowerBackup\PBKScheduler.exe" [2004-06-08 69721]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-08-08 524288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\eMule\\eMule.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires II\\age2_x1\\AGE2_X1.ICD"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:Emule
"4672:UDP"= 4672:UDP:Emule2

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.03.2009 18:33 108289]
S1 mailKmd;mailKmd; [x]
S2 Ca533av;Polaroid Digital Cam Video;c:\windows\system32\Drivers\Ca533av.sys --> c:\windows\system32\Drivers\Ca533av.sys [?]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 IPN2220;acer IPN2220 Wireless LAN Card Driver;c:\windows\system32\drivers\i2220ntx.sys [16.09.2004 18:58 140288]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\4F.tmp --> c:\windows\system32\4F.tmp [?]
S3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [01.01.2003 23:29 2343]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.bluewin.ch/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = 127.0.0.1
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &HTPE - c:\programme\hattriX\HTPE.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab
DPF: {DBC4B41E-1BEE-4FC3-A27D-5CF30D11056C} - hxxps://hpt.sso.bluewin.ch/res/js/thirdparty/imageuploader/CM4allUploader.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-09-28 22:16
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\4F.tmp"
.
Zeit der Fertigstellung: 2010-09-28  22:19:42
ComboFix-quarantined-files.txt  2010-09-28 20:19

Vor Suchlauf: 3'897'999'360 Bytes frei
Nach Suchlauf: 3'865'952'256 Bytes frei

- - End Of File - - B0AD53BC4C6E343602DF73AE2B9662FC
--- --- ---

cosinus 28.09.2010 21:48
Ok. Probier jetzt nochmal OTL aus.

Kilmarnock 28.09.2010 22:11
jetzt ist auch OTL gelaufen

OTL.txt
OTL Logfile:
Code:
OTL logfile created on: 28.09.2010 22:56:07 - Run 1
OTL by OldTimer - Version 3.2.14.1    Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
191.00 Mb Total Physical Memory | 64.00 Mb Available Physical Memory | 34.00% Memory free
463.00 Mb Paging File | 103.00 Mb Available in Paging File | 22.00% Paging File free
Paging file location(s): C:\pagefile.sys 288 576 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 17.46 Gb Total Space | 3.60 Gb Free Space | 20.64% Space Free | Partition Type: FAT32
Drive D: | 17.63 Gb Total Space | 3.93 Gb Free Space | 22.29% Space Free | Partition Type: FAT32
Drive E: | 296.50 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ACER-A9CE03BBC6
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe (Motive Communications, Inc.)
PRC - C:\Acer\eManager\anbmServ.exe (OSA Technologies Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (McciCMService) -- C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe (Motive Communications, Inc.)
SRV - (anbmService) -- C:\Acer\eManager\anbmServ.exe (OSA Technologies Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (Wbutton) -- C:\WINDOWS\System32\drivers\Wbutton.sys File not found
DRV - (USBCamera) Icatch(IV) -- C:\WINDOWS\System32\Drivers\Bulk533.sys File not found
DRV - (USBAAPL) -- C:\WINDOWS\System32\Drivers\usbaapl.sys File not found
DRV - (SSPORT) -- C:\WINDOWS\System32\Drivers\SSPORT.sys File not found
DRV - (MRESP50a64) -- C:\PROGRA~1\GEMEIN~1\Motive\MRESP50a64.SYS File not found
DRV - (MRENDIS5) -- C:\PROGRA~1\GEMEIN~1\Motive\MRENDIS5.SYS File not found
DRV - (MREMPR5) -- C:\PROGRA~1\GEMEIN~1\Motive\MREMPR5.SYS File not found
DRV - (MREMP50a64) -- C:\PROGRA~1\GEMEIN~1\Motive\MREMP50a64.SYS File not found
DRV - (MEMSWEEP2) -- C:\WINDOWS\System32\4F.tmp File not found
DRV - (DgiVecp) -- C:\WINDOWS\System32\Drivers\DgiVecp.sys File not found
DRV - (catchme) -- C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys File not found
DRV - (Ca533av) -- C:\WINDOWS\System32\Drivers\Ca533av.sys File not found
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (NSCIRDA) -- C:\WINDOWS\system32\drivers\nscirda.sys (National Semiconductor Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\usbaudio.sys (Microsoft Corporation)
DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.)
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (MREMP50) -- C:\Programme\Gemeinsame Dateien\Motive\MREMP50.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (MRESP50) -- C:\Programme\Gemeinsame Dateien\Motive\MRESP50.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (NTIDrvr) -- C:\WINDOWS\system32\drivers\NTIDrvr.sys (NewTech Infosystems, Inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys (Realtek Semiconductor Corporation                          )
DRV - (IPN2220) -- C:\WINDOWS\system32\drivers\i2220ntx.sys (Inprocomm, Inc.)
DRV - (VIAudio) Vinyl AC'97 Audio Controller (WDM) -- C:\WINDOWS\system32\drivers\viaudios.sys (VIA Technologies, Inc.)
DRV - (SilverLink) Texas Instruments SilverLink (USB GraphLink) -- C:\WINDOWS\system32\drivers\SilvrLnk.sys (Texas Instruments Incorporated)
DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (cdrbsvsd) -- C:\WINDOWS\System32\drivers\cdrbsvsd.sys (B.H.A Corporation)
DRV - (viaagp1) -- C:\WINDOWS\system32\DRIVERS\viaagp1.sys (VIA Technologies, Inc.)
DRV - (Hotkey) -- C:\WINDOWS\System32\drivers\HOTKEY.sys ()
DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.)
DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation)
DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation)
DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation)
DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation)
DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.)
DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.)
DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.)
DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
DRV - (POWERKEY) -- C:\Program Files\Launch Manager\POWERKEY.SYS ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bluewin.ch/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1
 
 
 
O1 HOSTS File: ([2010.09.28 22:15:32 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [{1290A33C-85F5-4164-A1BE-7DD299D4986A}] C:\Programme\CyberLink\PowerBackup\PBKScheduler.exe (CyberLink Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CtrlVol] C:\Program Files\Launch Manager\ctrlvol.exe (Wistron)
O4 - HKLM..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe ()
O4 - HKLM..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [PCMService] C:\Program Files\Arcade\PCMService.exe (CyberLink Corp.)
O4 - HKLM..\Run: [PowerKey] C:\Program Files\Launch Manager\PowerKey.exe ()
O4 - HKLM..\Run: [preload] C:\WINDOWS\RUNXMLPL.EXE (Wistron)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.)
O4 - HKLM..\Run: [VTTrayp] C:\WINDOWS\System32\VTTrayp.exe (S3 Graphics Co., Ltd.)
O4 - HKLM..\Run: [Wbutton] C:\Program Files\Launch Manager\Wbutton.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: AllowLegacyWebView = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: AllowUnhashedWebView = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe ()
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe ()
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (Reg Error: Key error.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} hxxp://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab (IfolorUploader Control)
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} hxxp://www.extrafilm.ch/ImageUploader5.cab (Image Uploader Control)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} hxxp://download.divx.com/player/DivXBrowserPlugin.cab (DivXBrowserPlugin Object)
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Java Plug-in 1.5.0_05)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab (Java Plug-in 1.5.0_08)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Java Plug-in 1.5.0_09)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Java Plug-in 1.5.0_10)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Java Plug-in 1.5.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} https://royaljoker.microgaming.com/deutsch/FlashAX.cab (FlashXControl Object)
O16 - DPF: {DBC4B41E-1BEE-4FC3-A27D-5CF30D11056C} https://hpt.sso.bluewin.ch/res/js/thirdparty/imageuploader/CM4allUploader.cab (CM4all Uploader Control)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2000.07.17 19:57:48 | 000,000,550 | R--- | M] () - E:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.09.28 22:55:39 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.09.28 22:46:55 | 000,000,000 | -HSD | C] -- C:\Recycled
[2010.09.28 21:49:44 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.09.28 21:49:43 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.09.28 21:49:43 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.09.28 21:49:43 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.09.28 21:49:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.09.28 21:46:44 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.09.28 21:41:12 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.09.27 20:30:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.09.14 22:21:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.09.14 21:43:16 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.09.14 21:41:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.09.14 21:41:04 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.09.14 21:40:53 | 000,000,000 | ---D | C] -- C:\Malwarebytes' Anti-Malware
[2010.09.14 21:33:25 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\***\Desktop\mbam-setup.com
[2010.09.14 20:42:35 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2010.09.13 18:44:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\BDOSCAN8
[2010.08.30 19:22:59 | 000,000,000 | ---D | C] -- C:\spoolerlogs
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.09.28 22:55:38 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.09.28 22:19:50 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.28 22:16:32 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.09.28 22:01:14 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.28 22:00:32 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.28 22:00:20 | 200,331,264 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.28 21:58:38 | 006,029,312 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.09.28 21:58:38 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.09.28 21:38:00 | 000,000,562 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CCleaner.lnk
[2010.09.28 21:33:48 | 003,855,377 | R--- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\cofi.exe
[2010.09.28 21:15:06 | 000,000,097 | ---- | M] () -- C:\WINDOWS\ComponentList.xml
[2010.09.26 14:16:48 | 001,579,120 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.09.24 21:12:36 | 000,025,088 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Anzeigen2.xls
[2010.09.24 21:02:34 | 000,036,352 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Anzeigen.xls
[2010.09.17 18:24:52 | 000,000,171 | ---- | M] () -- C:\WINDOWS\System32\MRT.INI
[2010.09.15 22:14:20 | 000,123,920 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100915_221125.reg
[2010.09.14 21:43:56 | 000,000,472 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.14 21:33:24 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\***\Desktop\mbam-setup.com
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.09.28 21:49:44 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.09.28 21:49:43 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.09.28 21:49:43 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.09.28 21:49:43 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.09.28 21:49:43 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.09.28 21:33:48 | 003,855,377 | R--- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\cofi.exe
[2010.09.24 21:09:24 | 000,025,088 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Anzeigen2.xls
[2010.09.17 18:24:49 | 000,000,171 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2010.09.15 22:11:55 | 000,123,920 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100915_221125.reg
[2010.09.14 21:43:54 | 000,000,472 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.14 20:27:07 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2009.10.20 20:34:44 | 000,022,723 | ---- | C] () -- C:\WINDOWS\System32\cl31cl3.dll
[2009.01.05 14:44:10 | 000,000,483 | ---- | C] () -- C:\WINDOWS\bdoscandellang.ini
[2008.11.26 19:34:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\webica.ini
[2007.03.17 18:42:38 | 000,000,020 | ---- | C] () -- C:\WINDOWS\powerplayer.ini
[2007.03.17 18:42:26 | 000,000,359 | ---- | C] () -- C:\WINDOWS\psnetwork.ini
[2007.03.06 19:00:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Jcmkr32.INI
[2006.10.23 13:46:45 | 000,000,050 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2006.08.01 18:52:15 | 000,000,200 | ---- | C] () -- C:\WINDOWS\MPPAGER.INI
[2006.02.10 23:01:32 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2005.11.02 18:16:10 | 000,000,465 | ---- | C] () -- C:\WINDOWS\lexstat.ini
[2005.10.24 16:09:49 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.10.24 15:58:12 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005.10.24 15:27:40 | 000,132,608 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.10.23 11:59:55 | 000,016,384 | ---- | C] () -- C:\Programme\ltmoh
[2005.08.12 22:57:09 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2004.09.16 18:58:14 | 000,000,033 | ---- | C] () -- C:\WINDOWS\Acer.ini
[2004.09.16 18:58:13 | 000,001,150 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004.09.16 18:58:12 | 000,872,448 | ---- | C] () -- C:\WINDOWS\iconv.dll
[2004.09.16 18:58:12 | 000,743,424 | ---- | C] () -- C:\WINDOWS\libxml2.dll
[2004.09.16 18:58:12 | 000,081,920 | ---- | C] () -- C:\WINDOWS\Capsule.dll
[2004.09.16 18:52:51 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2004.09.13 12:30:03 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2003.01.01 23:34:22 | 000,056,320 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll
[2003.01.01 23:34:06 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\ntiembed.dll
[2003.01.01 23:33:30 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTICDMK32.dll
[2003.01.01 23:33:30 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\NTIMPEG2.dll
[2003.01.01 23:29:43 | 000,000,048 | ---- | C] () -- C:\WINDOWS\Apire Series.ini
[2003.01.01 23:29:13 | 000,009,867 | ---- | C] () -- C:\WINDOWS\System32\drivers\HOTKEY.sys
[2003.01.01 23:05:08 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[2003.01.01 23:04:41 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\UnAudioNT.dll
[2001.12.26 16:12:30 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\multiplex_vcd.dll
[2001.09.03 23:46:38 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\Hmpg12.dll
[2001.07.30 16:33:56 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\HMPV2_ENC.dll
[2001.07.23 22:04:36 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\HMPV2_ENC_MMX.dll
[1980.01.01 00:00:00 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
< End of report >
--- --- ---


Extras.Txt
OTL Logfile:
Code:
OTL Extras logfile created on: 28.09.2010 22:56:08 - Run 1
OTL by OldTimer - Version 3.2.14.1    Folder = C:\Dokumente und Einstellungen\Thomas\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
191.00 Mb Total Physical Memory | 64.00 Mb Available Physical Memory | 34.00% Memory free
463.00 Mb Paging File | 103.00 Mb Available in Paging File | 22.00% Paging File free
Paging file location(s): C:\pagefile.sys 288 576 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 17.46 Gb Total Space | 3.60 Gb Free Space | 20.64% Space Free | Partition Type: FAT32
Drive D: | 17.63 Gb Total Space | 3.93 Gb Free Space | 22.29% Space Free | Partition Type: FAT32
Drive E: | 296.50 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ACER-A9CE03BBC6
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"4662:TCP" = 4662:TCP:*:Enabled:Emule
"4672:UDP" = 4672:UDP:*:Enabled:Emule2
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\System32\javaw.exe" = C:\WINDOWS\System32\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary -- (Sun Microsystems, Inc.)
"D:\eMule\eMule.exe" = D:\eMule\eMule.exe:*:Enabled:eMule Plus -- (hxxp://www.emule-project.net)
"C:\Programme\Microsoft Games\Age of Empires II\age2_x1\AGE2_X1.ICD" = C:\Programme\Microsoft Games\Age of Empires II\age2_x1\AGE2_X1.ICD:*:Enabled:Age of Empires II Expansion -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{09A6FCEC-83D1-4C92-9F19-AC4828EA1884}" = NTI CD &  DVD-Maker 6.7 Update
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = PowerStarter
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Arcade 3.0
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0150050}" = J2SE Runtime Environment 5.0 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0150080}" = J2SE Runtime Environment 5.0 Update 8
"{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Power2Go 3.0
"{4E68EAA3-775A-4542-A08A-47DB8E8E74A6}" = NTI Backup NOW! 3
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX
"{7B80F2CF-3012-41B3-0083-D96E3B923A33}" = Fussball Manager 2003
"{827289F5-B44F-4E49-9993-840741585A62}" = Acer eManager for Notebook
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{91110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A8B94669-8654-4126-BD28-D0D2412CDED6}" = TI Connect 1.6
"{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch
"{ADD5DB49-72CF-11D8-9D75-000129760D75}" = PowerBackup 1.0
"{B51ED37F-28E4-4BBC-A3A5-C6A3A3FB4627}" = TI-Program Editor for Voyage™  200
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer Express
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{C438B7C4-B4F8-49C5-A4DF-FF6F1F242778}" = NTI CD & DVD-Maker
"{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.0.7.6
"{D36DD326-7280-11D8-97C8-000129760CBE}" = PhotoNow! 1.0
"{D5A9B7C0-8751-11D8-9D75-000129760D75}" = MediaShow 3.0
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{E3D04529-6EDB-11D8-A372-0050BAE317E1}" = PowerDVD Copy 1.0
"{EDE721EC-870A-11D8-9D75-000129760D75}" = PowerDirector Express
"3131-1092-0924-3468" = Steuer 2009 10.0.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player
"Age of Empires" = Microsoft Age of Empires
"Age of Empires 2.0" = Microsoft Age of Empires II
"Age of Empires II: The Conquerors Expansion 1.0" = Microsoft Age of Empires II: The Conquerors Expansion
"Agere Systems Soft Modem" = Agere Systems AC'97 Modem
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DECCHECK" = Microsoft Windows XP Video Decoder Checkup Utility
"eMule" = eMule
"HTPE Internet Explorer Extensions v1.00" = HTPE Internet Explorer Extensions v1.00
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ifolor-OrderClient36" = ifolor Bestellsoftware 3.6
"Indeo® Software" = Indeo® Software
"InstallShield_{09A6FCEC-83D1-4C92-9F19-AC4828EA1884}" = NTI CD &  DVD-Maker 6.7 Update
"InstallShield_{4E68EAA3-775A-4542-A08A-47DB8E8E74A6}" = NTI Backup NOW! 3
"InstallShield_{827289F5-B44F-4E49-9993-840741585A62}" = Acer eManager for Notebook
"InstallShield_{C438B7C4-B4F8-49C5-A4DF-FF6F1F242778}" = NTI CD & DVD-Maker Gold
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MetaFrame Presentation Server Web Client for Win32" = MetaFrame Presentation Server Webclient für Win32
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PartyPoker" = PartyPoker
"S3" = UniChrome Pro IGP Display Driver and Utilities
"Samsung CLP-310 Series" = Samsung CLP-310 Series
"Steuer 2007 8.0.4" = Steuer 2007 8.0.4
"Steuer 2008 9.0.2" = Steuer 2008 9.0.2
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VIA Audio Driver Setup Program" = VIA Audio Driver Setup Program
"VTDisplay" = S3 S3Display
"VTGamma2" = S3 S3Gamma2
"VTInfo2" = S3 S3Info2
"VTOverlay" = S3 S3Overlay
"VTTrayPlus" = S3 S3TrayPlus
"VUInstRhine" = VIA Rhine Family Fast Ethernet Adapter
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Facebook Plug-In" = Facebook Plug-In
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 26.09.2010 02:20:57 | Computer Name = ACER-A9CE03BBC6 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 26.09.2010 08:23:15 | Computer Name = ACER-A9CE03BBC6 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 27.09.2010 12:54:40 | Computer Name = ACER-A9CE03BBC6 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 27.09.2010 13:35:57 | Computer Name = ACER-A9CE03BBC6 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung spoolsv.exe, Version 5.1.2600.6024, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x001a5f7a.
 
Error - 27.09.2010 14:46:56 | Computer Name = ACER-A9CE03BBC6 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 27.09.2010 14:47:36 | Computer Name = ACER-A9CE03BBC6 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 28.09.2010 06:29:07 | Computer Name = ACER-A9CE03BBC6 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 28.09.2010 11:05:32 | Computer Name = ACER-A9CE03BBC6 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 28.09.2010 11:08:58 | Computer Name = ACER-A9CE03BBC6 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 28.09.2010 11:11:37 | Computer Name = ACER-A9CE03BBC6 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ System Events ]
Error - 28.09.2010 15:15:43 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 28.09.2010 15:15:43 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 28.09.2010 15:19:06 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "Avira AntiVir Guard" wurde nicht ordnungsgemäß gestartet.
 
Error - 28.09.2010 15:20:33 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.
 
Error - 28.09.2010 15:20:33 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
 nicht gestartet:  %%1053
 
Error - 28.09.2010 16:01:11 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Polaroid Digital Cam Video" wurde aufgrund folgenden Fehlers
 nicht gestartet:  %%2
 
Error - 28.09.2010 16:01:11 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 28.09.2010 16:01:11 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "HID Input Service" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 28.09.2010 16:01:11 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet:
  %%2
 
Error - 28.09.2010 16:22:25 | Computer Name = ACER-A9CE03BBC6 | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
 für die  Netzwerkkarte mit der Netzwerkadresse 000E9B8D3F4A zugeteilt werden. Der
 folgende Fehler  ist aufgetreten:  %%1223.  Es wird weiterhin im Hintergrund versucht,
 eine Adresse vom  Netzwerkadressserver (DHCP) zugeteilt zu bekommen.
 
 
< End of report >
--- --- ---

cosinus 29.09.2010 08:14
Zitat:
191.00 Mb Total Physical Memory | 64.00 Mb Available Physical Memory | 34.00% Memory free
Dein Rechner hat aber sehr wenig Arbeitsspeicher!

Zitat:
Drive C: | 17.46 Gb Total Space | 3.60 Gb Free Space | 20.64% Space Free | Partition Type: FAT32
Drive D: | 17.63 Gb Total Space | 3.93 Gb Free Space | 22.29% Space Free | Partition Type: FAT32
Zum Abschluss sollten wir nachher auf NTFS konvertieren, geht ohne Datenverlust!

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
DRV - (MEMSWEEP2) -- C:\WINDOWS\System32\4F.tmp File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Kilmarnock 30.09.2010 12:14
Danke

Hier das Logfile.

Zitat:
All processes killed
========== OTL ==========
Service MEMSWEEP2 stopped successfully!
Service MEMSWEEP2 deleted successfully!
File C:\WINDOWS\System32\4F.tmp File not found not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 2383999 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes

User: Thomas
->Temp folder emptied: 1324 bytes
->Temporary Internet Files folder emptied: 14820066 bytes
->Java cache emptied: 7140 bytes
->Flash cache emptied: 24407 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 996 bytes
RecycleBin emptied: 210816 bytes

Total Files Cleaned = 17.00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 09302010_125653

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 30.09.2010 15:25
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Kilmarnock 30.09.2010 18:41
das logfile von GMER
GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-30 19:40:30
Windows 5.1.2600 Service Pack 3
Running: 3de10dsl.exe; Driver: C:\DOKUME~1\Thomas\LOKALE~1\Temp\uwdoafoc.sys


---- System - GMER 1.0.15 ----

SSDT            FB17BB8E                                ZwCreateKey
SSDT            FB17BB84                                ZwCreateThread
SSDT            FB17BB93                                ZwDeleteKey
SSDT            FB17BB9D                                ZwDeleteValueKey
SSDT            FB17BBA2                                ZwLoadKey
SSDT            FB17BB70                                ZwOpenProcess
SSDT            FB17BB75                                ZwOpenThread
SSDT            FB17BBAC                                ZwReplaceKey
SSDT            FB17BBA7                                ZwRestoreKey
SSDT            FB17BB98                                ZwSetValueKey
SSDT            FB17BB7F                                ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---

Kilmarnock 30.09.2010 18:56
Logfile von OSAM

Zitat:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 19:53:02 on 30.09.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17080

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Control Panel Objects
%SystemRoot%\system32
|||||| "JAVACPL.CPL" "Sun Microsystems, Inc." C:\WINDOWS\system32\JAVACPL.CPL File exists
|||||| "TIControlPanel.cpl" "Texas Instruments Incorporated" C:\WINDOWS\system32\TIControlPanel.cpl File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
"AntiVir PersonalEdition Classic Konfiguration" C:\PROGRA~1\ANTIVI~1\avconfig.cpl File not found
|||||| "Avira AntiVir Personal - Free Antivirus " "Avira GmbH" C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
"Apple Mobile USB Driver" (USBAAPL) C:\WINDOWS\System32\Drivers\usbaapl.sys File not found
|||||| "avgio" (avgio) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avgio.sys File exists
|||||| "avgntflt" (avgntflt) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avgntflt.sys File exists
|||||| "avipbb" (avipbb) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avipbb.sys File exists
"catchme" (catchme) C:\DOKUME~1\Thomas\LOKALE~1\Temp\catchme.sys File not found
|||||| "cdrbsvsd" (cdrbsvsd) "B.H.A Corporation" C:\WINDOWS\system32\drivers\cdrbsvsd.sys File exists
"Changer" (Changer) C:\WINDOWS\system32\drivers\Changer.sys File not found
"DgiVecp" (DgiVecp) C:\WINDOWS\system32\Drivers\DgiVecp.sys File not found
|||||| "Hotkey" (Hotkey) C:\WINDOWS\system32\drivers\Hotkey.sys File found, but it contains no detailed information
"Icatch(IV) Still Camera Device" (USBCamera) C:\WINDOWS\System32\Drivers\Bulk533.sys File not found
"lbrtfdc" (lbrtfdc) C:\WINDOWS\system32\drivers\lbrtfdc.sys File not found
"mailKmd" (mailKmd) C:\WINDOWS\system32\drivers\mailKmd.sys File not found
|||||| "MREMP50 NDIS Protocol Driver" (MREMP50) "Printing Communications Assoc., Inc. (PCAUSA)" C:\PROGRA~1\GEMEIN~1\Motive\MREMP50.SYS File exists
"MREMP50a64 NDIS Protocol Driver" (MREMP50a64) C:\PROGRA~1\GEMEIN~1\Motive\MREMP50a64.SYS File not found
"MREMPR5 NDIS Protocol Driver" (MREMPR5) C:\PROGRA~1\GEMEIN~1\Motive\MREMPR5.SYS File not found
"MRENDIS5 NDIS Protocol Driver" (MRENDIS5) C:\PROGRA~1\GEMEIN~1\Motive\MRENDIS5.SYS File not found
|||||| "MRESP50 NDIS Protocol Driver" (MRESP50) "Printing Communications Assoc., Inc. (PCAUSA)" C:\PROGRA~1\GEMEIN~1\Motive\MRESP50.SYS File exists
"MRESP50a64 NDIS Protocol Driver" (MRESP50a64) C:\PROGRA~1\GEMEIN~1\Motive\MRESP50a64.SYS File not found
|||||| "Padus ASPI Shell" (pfc) "Padus, Inc." C:\WINDOWS\System32\drivers\pfc.sys File exists
"PCIDump" (PCIDump) C:\WINDOWS\system32\drivers\PCIDump.sys File not found
"PDCOMP" (PDCOMP) C:\WINDOWS\system32\drivers\PDCOMP.sys File not found
"PDFRAME" (PDFRAME) C:\WINDOWS\system32\drivers\PDFRAME.sys File not found
"PDRELI" (PDRELI) C:\WINDOWS\system32\drivers\PDRELI.sys File not found
"PDRFRAME" (PDRFRAME) C:\WINDOWS\system32\drivers\PDRFRAME.sys File not found
"Polaroid Digital Cam Video" (Ca533av) C:\WINDOWS\System32\Drivers\Ca533av.sys File not found
|||||| "POWERKEY" (POWERKEY) C:\Program Files\Launch Manager\POWERKEY.sys File found, but it contains no detailed information
|||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\ssmdrv.sys File exists
"SSPORT" (SSPORT) C:\WINDOWS\system32\Drivers\SSPORT.sys File not found
|||||| "Upper Class Filter Driver" (NTIDrvr) "NewTech Infosystems, Inc." C:\WINDOWS\System32\DRIVERS\NTIDrvr.sys File exists
"uwdoafoc" (uwdoafoc) C:\DOKUME~1\Thomas\LOKALE~1\Temp\uwdoafoc.sys Hidden registry entry, rootkit activity | File not found
"Wbutton" (Wbutton) C:\WINDOWS\system32\drivers\Wbutton.sys File not found
"WDICA" (WDICA) C:\WINDOWS\system32\drivers\WDICA.sys File not found
Explorer
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
|||||| {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" "Microsoft Corporation" C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install File exists
HKLM\Software\Classes\Folder\shellex\ColumnHandlers
|||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll File exists
HKLM\Software\Classes\Protocols\Handler
|||||| {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" "Microsoft Corporation" C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL File exists
|||||| {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" File not found | COM-object registry key not found
|||||| {3FCEF010-09A4-11D4-8D3B-D12F9D3D8B02} "FileTimeShlExt Class" "Texas Instruments Incorporated" C:\PROGRA~1\GEMEIN~1\TISHAR~1\TICONN~1\TIShlExt.dll File exists
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" File not found | COM-object registry key not found
|||||| {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" "Microsoft Corporation" C:\Programme\Microsoft Office\Office10\msohev.dll File exists
|||||| {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" "Microsoft Corporation" C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL File exists
|||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\shlext.dll File exists
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "Shell Extensions for RealOne Player" File not found | COM-object registry key not found
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" File not found | COM-object registry key not found
{BD88A479-9623-4897-8546-BC62B9628F44} "SPTHandler" File not found | COM-object registry key not found
|||||| {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" "Microsoft Corporation" C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL File exists
|||||| {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" C:\Programme\WinRAR\rarext.dll File found, but it contains no detailed information
Internet Explorer
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
"ITBar7Layout" File not found | COM-object registry key not found
"ITBarLayout" File not found | COM-object registry key not found
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|||||| {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} "BDSCANONLINE Control"
hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab "BitDefender" C:\WINDOWS\DOWNLO~1\oscan82.ocx File exists
{DBC4B41E-1BEE-4FC3-A27D-5CF30D11056C} "CM4all Uploader Control"
https://hpt.sso.bluewin.ch/res/js/thirdparty/imageuploader/CM4allUploader.cab "Content Management AG" C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx File exists
|||| {67DABFBF-D0AB-41FA-9C46-CC0F21721616} "DivXBrowserPlugin Object"
hxxp://download.divx.com/player/DivXBrowserPlugin.cab "DivX,Inc." C:\Programme\DivX\DivX Web Player\npdivx32.dll File exists
|||| {8100D56A-5661-482C-BEE8-AFECE305D968} "Facebook Photo Uploader 5 Control"
hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab "The Facebook" C:\WINDOWS\Downloaded Program Files\PhotoUploader55.ocx File exists
{D8089245-3211-40F6-819B-9E5E92CD61A2} "FlashXControl Object"
https://royaljoker.microgaming.com/deutsch/FlashAX.cab "Microgaming Systems" C:\WINDOWS\system32\FlashAX\FlashAX.ocx File exists
{3B36B017-7E49-426B-95B0-B5CECD83C2E2} "IfolorUploader Control"
hxxp://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab "Ifolor AG" C:\WINDOWS\DOWNLO~1\IFOLOR~1.OCX File exists
|||| {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} "Image Uploader Control"
hxxp://www.extrafilm.ch/ImageUploader5.cab "Aurigma, Inc." C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx File exists
|||| {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.5.0_05"
hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll File exists
|||| {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06"
hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll File exists
|||| {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} "Java Plug-in 1.5.0_08"
hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll File exists
|||| {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} "Java Plug-in 1.5.0_09"
hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll File exists
|||| {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "Java Plug-in 1.5.0_10"
hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll File exists
|||| {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "Java Plug-in 1.5.0_11"
hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll File exists
|||||| {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "Java Plug-in 1.6.0_02"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll File exists
|||||| {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll File exists
|||| {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll File exists
|||| {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_17.dll File exists
|||| {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_17.dll File exists
|||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_17.dll File exists
Microsoft XML Parser for Java "Microsoft XML Parser for Java"
file://C:\WINDOWS\Java\classes\xmldso.cab File not found | COM-object registry key not found
|||||| {166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control"
hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab "Adobe Systems, Inc." C:\WINDOWS\system32\Adobe\Director\SwDir.dll File exists
|||||| {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object"
hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab "Adobe Systems, Inc." C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx File exists
|||| {17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool"
hxxp://go.microsoft.com/fwlink/?linkid=39204 "Microsoft Corporation" C:\WINDOWS\system32\legitcheckcontrol.dll File exists
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} "{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}"
hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
|||||| "Exec" C:\WINDOWS\bdoscandel.exe File found, but it contains no detailed information
|| "PartyPoker.com" C:\Programme\PartyGaming\PartyPoker\RunApp.exe File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll File not found
|||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jp2ssv.dll File exists
|||| {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" "Sun Microsystems, Inc." C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File exists
Logon
%AllUsersProfile%\Startmenü\Programme\Autostart
|||| "Adobe Reader - Schnellstart.lnk" "Adobe Systems Incorporated" C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe Shortcut exists | File exists
|||||| "DESKTOP.INI" C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DESKTOP.INI File exists
|||| "Microsoft Office.lnk" "Microsoft Corporation" C:\Programme\Microsoft Office\Office10\OSA.EXE Shortcut exists | File exists
%UserProfile%\Startmenü\Programme\Autostart
|||||| "DESKTOP.INI" C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\DESKTOP.INI File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
|||||| "avgnt" "Avira GmbH" "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min File exists
|||| "CtrlVol" "Wistron" C:\Program Files\Launch Manager\CtrlVol.exe File exists
|||| "LaunchAp" C:\Program Files\Launch Manager\LaunchAp.exe File exists
|||| "LManager" "Wistron" C:\Program Files\Launch Manager\HotkeyApp.exe File exists
|||| "LMgrOSD" C:\Program Files\Launch Manager\OSDCtrl.exe File exists
|||| "PCMService" "CyberLink Corp." "C:\Program Files\Arcade\PCMService.exe" File exists
|||| "PowerKey" "C:\Program Files\Launch Manager\PowerKey.exe" File exists
|| "preload" "Wistron" C:\Windows\RUNXMLPL.exe File exists
|||| "RemoteControl" "Cyberlink Corp." C:\Programme\CyberLink\PowerDVD\PDVDServ.exe File exists
|||| "Samsung PanelMgr" C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun File exists
|||| "SunJavaUpdateSched" "Sun Microsystems, Inc." "C:\Programme\Java\jre6\bin\jusched.exe" File exists
|||| "Wbutton" "C:\Program Files\Launch Manager\Wbutton.exe" File exists
|||||| "{1290A33C-85F5-4164-A1BE-7DD299D4986A}" "CyberLink Corp." C:\Programme\CyberLink\PowerBackup\PBKScheduler.exe File exists
Services
HKLM\SYSTEM\CurrentControlSet\Services
"Anwendungsverwaltung" (AppMgmt) C:\WINDOWS\System32\appmgmts.dll File not found
|||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avguard.exe File exists
|||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\sched.exe File exists
"HID Input Service" (HidServ) C:\WINDOWS\System32\hidserv.dll File not found
|||||| "Java Quick Starter" (JavaQuickStarterService) "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jqs.exe File exists
|||||| "McciCMService" (McciCMService) "Motive Communications, Inc." C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe File exists
|||||| "Notebook Manager Service" (anbmService) "OSA Technologies Inc." C:\Acer\eManager\anbmServ.exe File exists
Winlogon
HKCU\Control Panel\Desktop
|||||| "SCRNSAVE.EXE" C:\WINDOWS\ACER.SCR File found, but it contains no detailed information
HKCU\Control Panel\IOProcs
"MVB" mvfs32.dll File not found
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" appmgmts.dll File not found
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
|||| "WgaLogon" "Microsoft Corporation" C:\WINDOWS\system32\WgaLogon.dll File exists

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Kilmarnock 30.09.2010 19:12
Auszug aus dem remover.exe Text

unknown boot code has been found on some of your physical disks
To inspect the boot code manually, dump the master boot sector:
remover.exe dump device name output_file
To disinfect the master boot sector, use the following command:
remover.exe fix device name

cosinus 30.09.2010 19:35
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Kilmarnock 30.09.2010 20:23
hier das file

Zitat:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 172):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xFB090000 \WINDOWS\system32\KDCOM.DLL
0xFAFA0000 \WINDOWS\system32\BOOTVID.dll
0xFAA60000 ACPI.sys
0xFB092000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xFAA4F000 pci.sys
0xFAB90000 isapnp.sys
0xFABA0000 ohci1394.sys
0xFABB0000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xFAFA4000 compbatt.sys
0xFAFA8000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xFB158000 pciide.sys
0xFAE10000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xFB094000 aliide.sys
0xFB096000 intelide.sys
0xFB098000 toside.sys
0xFB09A000 viaide.sys
0xFB09C000 cmdide.sys
0xFAA31000 pcmcia.sys
0xFABC0000 MountMgr.sys
0xFAA12000 ftdisk.sys
0xFAFAC000 ACPIEC.sys
0xFB159000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xFAE18000 PartMgr.sys
0xFABD0000 VolSnap.sys
0xFAFB0000 cpqarray.sys
0xFA9FA000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xFA9E2000 atapi.sys
0xFAFB4000 aha154x.sys
0xFAE20000 sparrow.sys
0xFAFB8000 symc810.sys
0xFABE0000 aic78xx.sys
0xFAFBC000 dac960nt.sys
0xFABF0000 ql10wnt.sys
0xFAFC0000 amsint.sys
0xFAE28000 asc.sys
0xFAFC4000 asc3550.sys
0xFAE30000 mraid35x.sys
0xFAE38000 i2omp.sys
0xFAFC8000 ini910u.sys
0xFAC00000 ql1240.sys
0xFAC10000 aic78u2.sys
0xFAE40000 symc8xx.sys
0xFAE48000 sym_hi.sys
0xFAE50000 sym_u3.sys
0xFAE58000 ABP480N5.SYS
0xFAE60000 asc3350p.sys
0xFB09E000 cd20xrnt.sys
0xFAC20000 ultra.sys
0xFA9C9000 adpu160m.sys
0xFAE68000 dpti2o.sys
0xFAC30000 ql1080.sys
0xFAC40000 ql1280.sys
0xFAC50000 ql12160.sys
0xFAE70000 perc2.sys
0xFB0A0000 perc2hib.sys
0xFAE78000 hpn.sys
0xFAFCC000 cbidf2k.sys
0xFA99D000 dac2w2k.sys
0xFAC60000 disk.sys
0xFAC70000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xFA97D000 fltmgr.sys
0xFA96B000 sr.sys
0xFA947000 Fastfat.sys
0xFA930000 KSecDD.sys
0xFA91D000 WudfPf.sys
0xFA8F0000 NDIS.sys
0xFAC80000 sisagp.sys
0xFAC90000 viaagp.sys
0xFAE80000 viaagp1.sys
0xFA8D6000 Mup.sys
0xFACA0000 gagp30kx.sys
0xFACB0000 alim1541.sys
0xFACC0000 amdagp.sys
0xFACD0000 agp440.sys
0xFACE0000 agpCPQ.sys
0xFAD00000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xFA775000 \SystemRoot\system32\DRIVERS\vtmini.sys
0xFA761000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xFA73E000 \SystemRoot\system32\DRIVERS\i2220ntx.sys
0xFAEE0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xFA71A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xFAEE8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xFAD10000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xFA6ED000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xFB0B4000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xFAEF0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xFAEF8000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xFA6D9000 \SystemRoot\system32\DRIVERS\parport.sys
0xFAF00000 \SystemRoot\system32\DRIVERS\nscirda.sys
0xFB048000 \SystemRoot\system32\DRIVERS\irenum.sys
0xFB050000 \SystemRoot\System32\Drivers\cdrbsvsd.SYS
0xFAD20000 \SystemRoot\system32\DRIVERS\imapi.sys
0xFAD30000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xFAD40000 \SystemRoot\system32\DRIVERS\redbook.sys
0xFA6B6000 \SystemRoot\system32\DRIVERS\ks.sys
0xFA699000 \SystemRoot\system32\drivers\viaudios.sys
0xFA675000 \SystemRoot\system32\drivers\portcls.sys
0xFAD50000 \SystemRoot\system32\drivers\drmk.sys
0xFA550000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xFAF08000 \SystemRoot\System32\Drivers\Modem.SYS
0xFB060000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xFB2CE000 \SystemRoot\system32\DRIVERS\audstub.sys
0xFAF10000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xFAF18000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xFAD60000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xFB068000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xFA511000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xFAD70000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xFAD80000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xFA460000 \SystemRoot\system32\DRIVERS\psched.sys
0xFAD90000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xFAF20000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xFAF28000 \SystemRoot\system32\DRIVERS\raspti.sys
0xFADA0000 \SystemRoot\system32\DRIVERS\termdd.sys
0xFB0B6000 \SystemRoot\system32\DRIVERS\swenum.sys
0xFA402000 \SystemRoot\system32\DRIVERS\update.sys
0xFB074000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xFADC0000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xFADD0000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xFA7FE000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xFB0DA000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xFB15D000 \SystemRoot\System32\Drivers\Null.SYS
0xFB0DC000 \SystemRoot\System32\Drivers\Beep.SYS
0xFAF50000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xFAF58000 \SystemRoot\System32\drivers\vga.sys
0xFB0DE000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xFB0E0000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xFAF60000 \SystemRoot\System32\Drivers\Msfs.SYS
0xFAF68000 \SystemRoot\System32\Drivers\Npfs.SYS
0xFA7F6000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF92ED000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF9294000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF926C000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF924A000 \SystemRoot\System32\drivers\afd.sys
0xFADE0000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF921F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF91AF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xFA7B7000 \SystemRoot\System32\Drivers\Hotkey.SYS
0xFAE00000 \SystemRoot\System32\Drivers\Fips.SYS
0xF9161000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xFA8C6000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF9145000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xFB0EE000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xFAF70000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xFA54C000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xFA886000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xFA548000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xFA544000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xFA876000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF9065000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xFB0F0000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xFA530000 \SystemRoot\System32\drivers\Dxapi.sys
0xFAF78000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xFB1C6000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\vtdisp.dll
0xF06F9000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF05A3000 \SystemRoot\system32\DRIVERS\irda.sys
0xF06CD000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF0436000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF90E5000 \SystemRoot\system32\DRIVERS\secdrv.sys
0xF01FF000 \SystemRoot\system32\DRIVERS\srv.sys
0xEFF1A000 \SystemRoot\system32\drivers\wdmaud.sys
0xF0097000 \SystemRoot\system32\drivers\sysaudio.sys
0xEFDEB000 \SystemRoot\System32\Drivers\HTTP.sys
0xFB2BC000 \??\C:\Program Files\Launch Manager\POWERKEY.sys
0xEFA28000 \??\C:\DOKUME~1\Thomas\LOKALE~1\Temp\uwdoafoc.sys
0xEF932000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 44):
0 System Idle Process
4 System
552 C:\WINDOWS\System32\SMSS.EXE
624 csrss.exe
648 C:\WINDOWS\System32\winlogon.exe
692 C:\WINDOWS\System32\SERVICES.EXE
704 C:\WINDOWS\System32\LSASS.EXE
876 C:\WINDOWS\System32\svchost.exe
988 svchost.exe
1028 C:\WINDOWS\System32\svchost.exe
1064 C:\WINDOWS\System32\svchost.exe
1188 svchost.exe
1244 svchost.exe
1692 C:\WINDOWS\System32\spoolsv.exe
1728 C:\Programme\Avira\AntiVir Desktop\sched.exe
1772 svchost.exe
1852 C:\Acer\eManager\anbmServ.exe
260 C:\Programme\Avira\AntiVir Desktop\avguard.exe
308 C:\Programme\Java\jre6\bin\jqs.exe
392 C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe
524 C:\WINDOWS\System32\svchost.exe
1512 C:\WINDOWS\System32\Wbem\WMIAPSRV.EXE
1468 alg.exe
1280 C:\WINDOWS\EXPLORER.EXE
1240 C:\Programme\Synaptics\SynTP\SynTPLpr.exe
200 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1824 C:\Program Files\Launch Manager\LaunchAp.exe
1972 C:\Program Files\Launch Manager\Powerkey.exe
192 C:\Program Files\Launch Manager\HotkeyApp.exe
140 C:\Program Files\Launch Manager\CtrlVol.exe
1084 C:\Program Files\Launch Manager\OSDCtrl.exe
760 C:\Program Files\Launch Manager\WButton.exe
2016 C:\WINDOWS\System32\VTTrayp.exe
1168 C:\WINDOWS\System32\VTTimer.exe
1520 C:\WINDOWS\AGRSMMSG.exe
1720 C:\Program Files\Arcade\PCMService.exe
2100 C:\Programme\Java\jre6\bin\JUSCHED.EXE
2132 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
2164 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2248 C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
2320 C:\WINDOWS\System32\ctfmon.exe
2360 C:\Programme\Messenger\msmsgs.exe
3760 C:\Programme\Internet Explorer\iexplore.exe
1496 C:\Dokumente und Einstellungen\Thomas\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`89c3b200 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000004`e7920000 (FAT32)

PhysicalDrive0 Model Number: HTS424040M9AT00, Rev: MA2OA71A

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: BEA90D9A447A4AF731FA0CC4A45E68FA2DFCAE6E


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

cosinus 30.09.2010 20:31
Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.

http://i94.photobucket.com/albums/l8...ungskonsol.png

Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.

http://i94.photobucket.com/albums/l8...onsole_ani.gif

Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.
  • Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
  • Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
  • Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in den Thread.

Kilmarnock 30.09.2010 21:03
hier das log.txt

Combofix Logfile:
Code:
ComboFix 10-09-27.05 - Thomas 30.09.2010  21:49:13.2.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.41.1031.18.191.98 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Thomas\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FC-0D24-347CA8A3377C}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-08-28 bis 2010-09-30  ))))))))))))))))))))))))))))))
.

2010-09-30 10:56 . 2010-09-30 10:56        --------        d-----w-        C:\_OTL
2010-09-27 18:30 . 2010-09-27 18:30        --------        d-----w-        c:\windows\system32\NtmsData
2010-09-14 20:21 . 2010-09-14 20:21        --------        d-----w-        c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2010-09-14 19:43 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-14 19:41 . 2010-09-14 19:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-14 19:41 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-09-14 19:40 . 2010-09-14 19:40        --------        d-----w-        C:\Malwarebytes' Anti-Malware
2010-09-13 16:44 . 2010-09-13 16:44        --------        d-----w-        c:\windows\BDOSCAN8

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-17 13:17 . 1979-12-31 22:00        58880        ----a-w-        c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 1979-12-31 22:00        590848        ----a-w-        c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll
2005-10-23 09:59 . 2005-10-23 09:59        16384        ------w-        c:\programme\ltmoh
.

(((((((((((((((((((((((((((((  SnapShot@2010-09-28_20.16.29  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-30 16:32 . 2010-09-30 16:32        16384              c:\windows\Temp\Perflib_Perfdata_134.dat
+ 2007-01-29 07:58 . 2010-06-21 14:46        46080              c:\windows\system32\tzchange.exe
- 2007-01-29 07:58 . 2010-04-21 13:28        46080              c:\windows\system32\tzchange.exe
+ 2006-12-14 20:06 . 2010-02-22 14:22        18808              c:\windows\system32\spmsg.dll
- 2006-12-14 20:06 . 2009-05-26 09:01        18808              c:\windows\system32\spmsg.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2004-08-06 32768]
"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2004-07-15 49152]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2004-01-28 184320]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-09-08 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2004-08-13 73728]
"VTTrayp"="VTtrayp.exe" [2004-06-22 143360]
"VTTimer"="VTTimer.exe" [2004-09-01 53248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-13 4141056]
"AGRSMMSG"="AGRSMMSG.exe" [2003-07-25 88363]
"PCMService"="c:\program files\Arcade\PCMService.exe" [2004-08-27 81920]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-05-18 149280]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-06-28 32768]
"{1290A33C-85F5-4164-A1BE-7DD299D4986A}"="c:\programme\CyberLink\PowerBackup\PBKScheduler.exe" [2004-06-08 69721]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-08-08 524288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\eMule\\eMule.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires II\\age2_x1\\AGE2_X1.ICD"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:Emule
"4672:UDP"= 4672:UDP:Emule2

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.03.2009 18:33 108289]
R3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [01.01.2003 23:29 2343]
S1 mailKmd;mailKmd; [x]
S2 Ca533av;Polaroid Digital Cam Video;c:\windows\system32\Drivers\Ca533av.sys --> c:\windows\system32\Drivers\Ca533av.sys [?]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 IPN2220;acer IPN2220 Wireless LAN Card Driver;c:\windows\system32\drivers\i2220ntx.sys [16.09.2004 18:58 140288]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - UWDOAFOC
*Deregistered* - uwdoafoc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.bluewin.ch/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &HTPE - c:\programme\hattriX\HTPE.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab
DPF: {DBC4B41E-1BEE-4FC3-A27D-5CF30D11056C} - hxxps://hpt.sso.bluewin.ch/res/js/thirdparty/imageuploader/CM4allUploader.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-09-30 21:56
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2564)
c:\programme\CyberLink\Shared Files\CLRCEngine.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-09-30  22:00:12
ComboFix-quarantined-files.txt  2010-09-30 20:00
ComboFix2.txt  2010-09-28 20:19

Vor Suchlauf: 3'633'053'696 Bytes frei
Nach Suchlauf: 3'661'561'856 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect

- - End Of File - - E109C5ED57B3761ECA1A18538BBFF5A6
--- --- ---

cosinus 01.10.2010 08:00
Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Kilmarnock 01.10.2010 19:49
jetzt ist das MBR in Ordnung

cosinus 03.10.2010 12:07
Hast mit MBRCheck nachgeprüft?

Wenn ja => Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Kilmarnock 04.10.2010 15:31
ja, MBRCheck ist in Ordnung,aber Malwarebytes hat leider wieder was gefunden

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4739

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

04.10.2010 16:28:25
mbam-log-2010-10-04 (16-28-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 194487
Laufzeit: 2 Stunde(n), 10 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{20805B88-0A57-49FE-94C0-35B1D4357244}\RP950\A0246989.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{20805B88-0A57-49FE-94C0-35B1D4357244}\RP952\A0251353.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.

cosinus 04.10.2010 17:59
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Kilmarnock 04.10.2010 20:16
ok, das hab ich gemacht. Wie gehts weiter und wann soll ich die Systemwiederherstellung wieder einschalten?
Danke

cosinus 05.10.2010 07:47
Der Scan mit SASW steht doch noch aus!

Kilmarnock 05.10.2010 19:30
sorry hier das Logfile
nur Adware cookies wurden gefunden

Zitat:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/05/2010 at 06:36 PM

Application Version : 4.44.1000

Core Rules Database Version : 5631
Trace Rules Database Version: 3443

Scan type : Complete Scan
Total Scan Time : 02:38:41

Memory items scanned : 457
Memory threats detected : 0
Registry items scanned : 5971
Registry threats detected : 0
File items scanned : 65134
File threats detected : 3

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@adtech[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[2].txt

cosinus 05.10.2010 20:00
Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Die SWH kannst Du wieder einschalten wenn Du sie brauchst.

Kilmarnock 05.10.2010 21:18
ein Problem habe ich noch, aber das hängt möglicherweise nicht mit dem Trojaner zusammen: meine externe Festplatte wird plötzlich nicht mehr erkannt. Ich habe mich mal im Netz ein wenig durchgelesen und bin deshalb auf die Idee gekommen, dass im Gerätemanager ein Laufwerkbuchstabe zugewiesen werden muss. Aber leider geht das gar nicht, das Laufwerk wird zwar erkannt, aber die Eigenschaften kann ich nicht anwählen, auch die Volumes können nicht angezeigt oder aktualisiert werden. Die Festplatte macht aber irgend ein Geräusch. Liegt das eher an der Verbindung als an der Festplatte?

Schon mal besten Dank für Deine Hilfe mit dem Trojaner. Ist alles andere als selbstverständlich

cosinus 06.10.2010 08:47
Mach nen Screenshot vom Gerätemanager mit der ext. Platte.
Normalerweise muss man manuell keinen Buchstaben zuweisen. Aber im Gerätemanager kannst Du per Rechtsklick auf die Partition der ext. Platte einen anderen Buchstaben zuweisen.

Kilmarnock 06.10.2010 11:05
habe versucht, die Files per Upload-Channel hochzuladen, hat aber anscheinend nicht geklappt. Werde es heute abend nochmals versuchen

cosinus 06.10.2010 14:34
Den Screenshot willst Du im UCh hochladen!? Dafür ist das nicht gedacht! Für Bilder kannst Du sowas wie Saved.im nutzen!

Kilmarnock 06.10.2010 19:49
sorry, hier die screenshots

http://saved.im/mtyynzc3nmno/festplatte1.bmp
http://saved.im/mtyynzc4ohj6/festplatte2.bmp

hoffe, dass das funktioniert

cosinus 06.10.2010 20:36
Ups sry meine Fehler :o

Ich meinte einen Screenshot der Datenträgerverwaltung, wo man die externe Platte mitsamt der auf ihr enthaltenen Partition(en) sieht. Aber das Bild aus dem Gerätemanager schadt zumindest nicht ;)

Kilmarnock 06.10.2010 20:52
tja, das ist leider das Problem.
die Festplatte taucht gar nicht mehr als Datenspeicher auf, obwohl sie im Gerätemanager als Laufwerk erkannt wird

cosinus 06.10.2010 21:56
Was ist das für eine Platte? Eine größere Desktop-Platte, als 3,5" mit ext. Netzteil, oder eine kleine 2.5" mobile ext. Platte? Notfalls mal das Gehäuse aufschrauben, die Platte vorsichtig rausschrauben und intern an den Rechner anschließen. Könnte sein, dass der IDE2USB-Adapter (bzw. SATA2USB bei einer SATA-Platte im ext. gehäuse) ne Macke hat die Platte selbst aber noch funktioniert.

Du schriebst was von Geräuschen, schon das unschöne laute Klacker von der ext. Platte?

Kilmarnock 07.10.2010 12:39
es ist eine mobile 2.5"

es sind keine lauten Klacker, eher leise so meiner laienhaften Meinung nach "suchen, aber nicht finden Geräusche"

cosinus 08.10.2010 12:06
Notfalls mal das Gehäuse dieser ext. Platte öffnen, die Platte rausnehmen und intern anschließen. Sollte, wenn es eine 2.5" SATA-Platte ist, kein Problem sein.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55