Trojaner-Board - Backdoor.Tidserv in ftdisk.sik

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Backdoor.Tidserv in ftdisk.sik (https://www.trojaner-board.de/90825-backdoor-tidserv-ftdisk-sik.html)

Backdoor.Tidserv in ftdisk.sik

Hallo Community,
mein Norton Internet Security zeigt mir an, dass in der Datei ftdisk.sik
(C:/WINDOWS/system32/drivers/ftdisk.sik) das RootKit Backdoor.Tidserv liegt.
Ich krieg's auch nicht weg.
Norton meint per Hand entfernen, Norton-Tools finden nix, weil sich der Virus anscheinend sehr, sehr gut tarnt, soviel ich gelesen habe.
Hoffe ihr könnt mir helfen!!

EDIT: Hier noch HiJackThis und Malwarebytes-Logs!

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 21:40:11, on 15.09.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\Drivers\WTSRV.EXE

C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\SyncroSoft\Pos\H2O\cledx.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programme\RocketDock\RocketDock.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\IPSBHO.DLL

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\18.1.0.37\coIEPlg.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164535483125

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe

O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE
 

--

End of file - 7678 bytes

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4623
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

15.09.2010 21:57:04

mbam-log-2010-09-15 (21-57-04).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 177643

Laufzeit: 5 Minute(n), 12 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 6

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\gpupdate.dat (Malware.Trace) -> No action taken.

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\usernt.dat (Malware.Trace) -> No action taken.

C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hallo markusg,
schonmal danke für die Antwort!

CF meinte kurz nach Scanbeginn er hätte RootKitAktivitäten festgestellt und müsste neustarten. Nach Klick auf OK, passierte aber nichts mehr, keine Festplattenaktivität, garnichts. Hab also manuell über den Power-Knopf am Rechner neu gestartet. Hoffe, das hat jetzt nichts verfälscht oder so.

Jedenfalls hier das Log:

Code:

ComboFix 10-09-15.02 - Daniel Baumann 16.09.2010  17:09:13.1.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C}

AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\1.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\a.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\b.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\c.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\d.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\e.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\f.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\g.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\h.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\i.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\J.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\k.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\l.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\m.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\mru.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\n.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\o.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\p.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\q.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\r.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\s.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\t.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\u.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\v.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\w.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\x.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\y.xml

c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\z.xml

c:\windows\daemon.dll

c:\windows\jestertb.dll

c:\windows\system32\encapi32.dll

c:\windows\system32\lsprst7.dll

c:\windows\system32\msvcsv60.dll

c:\windows\system32\ssprs.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-08-16 bis 2010-09-16  ))))))))))))))))))))))))))))))

.
 

2010-09-15 22:33 . 2010-09-15 22:36    --------    d-----w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE

2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes

2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware

2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes

2010-09-15 19:48 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-15 19:48 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys

2010-09-15 19:10 . 2010-09-15 19:10    161296    ----a-w-    c:\windows\system32\drivers\tmcomm.sys

2010-09-11 10:35 . 2010-09-11 10:35    388096    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2010-09-05 15:10 . 2010-09-05 15:10    503808    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll

2010-09-05 15:10 . 2010-09-05 15:10    499712    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll

2010-09-05 15:10 . 2010-09-05 15:10    348160    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll

2010-09-05 15:10 . 2010-09-05 15:10    61440    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll

2010-09-05 15:10 . 2010-09-05 15:10    12800    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll

2010-09-05 11:02 . 2010-07-17 03:00    423656    ----a-w-    c:\windows\system32\deployJava1.dll

2010-09-05 10:56 . 2010-09-05 10:56    --------    d-----w-    c:\programme\Defraggler

2010-09-05 10:55 . 2010-09-05 10:55    --------    d-----w-    c:\programme\Microsoft.NET

2010-09-05 10:46 . 2010-07-20 13:05    81920    ----a-w-    c:\windows\system32\igfxCoIn_v5284.dll

2010-09-05 09:41 . 2010-09-05 09:41    --------    d-----w-    c:\programme\NT Registry Optimizer

2010-09-05 08:35 . 2010-07-29 03:33    666672    ----a-r-    c:\windows\system32\drivers\SymEFA.sys

2010-09-05 08:35 . 2010-07-29 02:54    50096    ----a-r-    c:\windows\system32\drivers\srtspx.sys

2010-09-05 08:35 . 2010-07-13 01:20    369072    ----a-r-    c:\windows\system32\drivers\symtdi.sys

2010-09-05 08:35 . 2010-06-27 04:05    134704    ----a-r-    c:\windows\system32\drivers\Ironx86.sys

2010-09-05 08:35 . 2010-06-13 10:50    339504    ----a-r-    c:\windows\system32\drivers\SymDS.sys

2010-09-05 07:58 . 2010-09-05 08:35    60808    ----a-w-    c:\windows\system32\S32EVNT1.DLL

2010-09-05 07:58 . 2010-09-05 08:35    126512    ----a-w-    c:\windows\system32\drivers\SYMEVENT.SYS

2010-09-05 07:58 . 2010-09-05 08:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Symantec Shared

2010-09-05 07:58 . 2010-09-05 08:38    --------    d-----w-    c:\windows\system32\drivers\NIS

2010-09-05 07:58 . 2010-09-05 08:43    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton

2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Norton Internet Security

2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Windows Sidebar

2010-09-05 07:54 . 2010-09-05 07:54    --------    d-----w-    c:\programme\NortonInstaller

2010-09-05 03:09 . 2010-09-05 04:18    --------    d-----w-    C:\NBRT

2010-09-04 18:21 . 2010-09-05 07:57    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller

2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\windows\system32\wbem\Repository

2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype

2010-09-04 15:37 . 2010-09-04 15:40    --------    d-s---w-    c:\dokumente und einstellungen\Administrator\Eigene Dateien

2010-09-04 15:27 . 2010-09-04 15:27    --------    d-----w-    c:\dokumente und einstellungen\Administrator\IETldCache

2010-09-04 15:15 . 2010-09-04 15:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\PrivacIE
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-16 14:42 . 2008-02-01 15:33    --------    d-----w-    c:\programme\Mozilla Thunderbird

2010-09-15 22:28 . 2006-11-26 17:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy

2010-09-15 19:18 . 2009-12-17 18:41    --------    d-----w-    c:\programme\SystemRequirementsLab

2010-09-15 17:25 . 2008-02-01 14:30    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla

2010-09-15 17:20 . 2009-06-03 12:01    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype

2010-09-15 17:20 . 2008-08-18 20:06    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM

2010-09-14 23:11 . 2009-09-20 18:50    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc

2010-09-13 15:57 . 2007-12-05 20:13    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp

2010-09-13 15:53 . 2007-03-12 18:01    --------    d-----w-    c:\programme\Winamp

2010-09-13 15:53 . 2010-03-25 18:05    --------    d-----w-    c:\programme\Winamp Detect

2010-09-11 15:46 . 2010-07-04 15:31    --------    d-----w-    c:\programme\ICQ7.1

2010-09-11 10:30 . 2008-09-15 17:34    --------    d-----w-    c:\programme\KONAMI

2010-09-11 09:46 . 2010-05-06 21:58    16    ----a-w-    c:\windows\msocreg32.dat

2010-09-08 17:47 . 2005-01-07 18:21    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe

2010-09-08 17:25 . 2010-07-06 21:49    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe

2010-09-05 20:01 . 2004-08-04 12:00    126336    ----a-w-    c:\windows\system32\drivers\ftdisk.sik

2010-09-05 11:15 . 2007-01-03 14:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic

2010-09-05 11:02 . 2006-11-03 12:05    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java

2010-09-05 11:02 . 2004-11-18 14:17    --------    d-----w-    c:\programme\Java

2010-09-05 10:58 . 2004-08-04 12:00    94746    ----a-w-    c:\windows\system32\perfc007.dat

2010-09-05 10:58 . 2004-08-04 12:00    502424    ----a-w-    c:\windows\system32\perfh007.dat

2010-09-05 10:46 . 2009-09-23 15:34    --------    d-----w-    c:\programme\CCleaner

2010-09-05 08:35 . 2010-09-05 07:58    805    ----a-w-    c:\windows\system32\drivers\SYMEVENT.INF

2010-09-05 08:35 . 2010-09-05 07:58    7456    ----a-w-    c:\windows\system32\drivers\SYMEVENT.CAT

2010-09-05 08:35 . 2004-11-18 14:14    --------    d-----w-    c:\programme\Symantec

2010-09-05 08:27 . 2010-07-25 20:49    1324    ----a-w-    c:\windows\system32\d3d9caps.dat

2010-09-04 16:49 . 2009-06-03 12:00    --------    d-----r-    c:\programme\Skype

2010-09-04 16:49 . 2006-12-29 19:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype

2010-09-04 16:48 . 2008-12-04 16:18    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss

2010-09-01 17:50 . 2010-05-26 15:00    87    ----a-w-    c:\windows\system32\ssprs.tgz.vir

2010-09-01 17:50 . 2010-05-26 15:00    73    ----a-w-    c:\windows\system32\ssprs.dll.vir

2010-09-01 17:50 . 2010-05-26 15:00    219    ----a-w-    c:\windows\system32\lsprst7.tgz.vir

2010-09-01 17:50 . 2010-05-26 15:00    205    ----a-w-    c:\windows\system32\lsprst7.dll.vir

2010-08-23 18:18 . 2010-01-16 15:54    --------    d-----w-    c:\programme\PokerStars

2010-08-22 14:15 . 2007-04-19 12:47    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ

2010-08-17 13:17 . 2004-08-04 12:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe

2010-08-07 18:20 . 2010-08-07 18:20    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers

2010-08-07 18:20 . 2010-05-15 15:48    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft

2010-08-07 18:20 . 2009-07-29 19:48    --------    d-----w-    c:\programme\DVDVideoSoft

2010-08-03 21:08 . 2009-07-20 20:19    --------    d-----w-    c:\programme\TrackMania Nations ESWC

2010-08-03 20:29 . 2010-06-21 21:19    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon

2010-08-03 20:26 . 2006-11-30 19:36    70880    -c--a-w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-07-31 17:01 . 2008-11-06 23:31    1    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-07-31 16:31 . 2008-06-07 22:36    --------    d-----w-    c:\programme\phase5

2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares

2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\programme\Antares Audio Technologies

2010-07-24 15:24 . 2006-11-06 18:56    --------    d-----w-    c:\programme\VstPlugins

2010-07-23 23:47 . 2008-02-01 14:30    --------    d-----w-    c:\programme\FileZilla FTP Client

2010-07-22 15:48 . 2004-08-04 12:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll

2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll

2010-07-20 12:58 . 2009-07-13 12:44    4123648    ----a-w-    c:\windows\system32\igxpdx32.dll

2010-07-20 12:57 . 2009-07-13 12:44    3482432    ----a-w-    c:\windows\system32\igxpdv32.dll

2010-07-20 12:57 . 2009-07-13 12:44    2003584    ----a-w-    c:\windows\system32\drivers\igxpmp32.sys

2010-07-20 12:57 . 2009-07-13 12:44    982240    ----a-w-    c:\windows\system32\igkrng500.bin

2010-07-20 12:57 . 2009-07-13 12:44    58368    ----a-w-    c:\windows\system32\igxprd32.dll

2010-07-20 12:57 . 2009-07-13 12:44    439308    ----a-w-    c:\windows\system32\igcompkrng500.bin

2010-07-20 12:57 . 2009-07-13 12:44    182784    ----a-w-    c:\windows\system32\igxpgd32.dll

2010-07-20 12:45 . 2009-07-13 12:44    10963456    ----a-w-    c:\windows\system32\ig4icd32.dll

2010-07-20 12:37 . 2009-07-13 12:44    129536    ----a-w-    c:\windows\system32\igfxtray.exe

2010-07-20 12:37 . 2009-07-13 12:44    194048    ----a-w-    c:\windows\system32\igfxpph.dll

2010-07-20 12:36 . 2009-07-13 12:44    163328    ----a-w-    c:\windows\system32\hkcmd.exe

2010-07-20 12:36 . 2009-07-13 12:44    138752    ----a-w-    c:\windows\system32\igfxpers.exe

2010-07-20 12:36 . 2009-07-13 12:44    23552    ----a-w-    c:\windows\system32\igfxexps.dll

2010-07-20 12:36 . 2009-07-13 12:44    172032    ----a-w-    c:\windows\system32\igfxext.exe

2010-07-20 12:36 . 2009-07-13 12:44    130048    ----a-w-    c:\windows\system32\igfxdo.dll

2010-07-20 12:36 . 2009-07-13 12:44    57344    ----a-w-    c:\windows\system32\igfxsrvc.dll

2010-07-20 12:36 . 2009-07-13 12:44    257536    ----a-w-    c:\windows\system32\igfxsrvc.exe

2010-07-20 12:36 . 2009-12-17 18:45    3139584    ----a-w-    c:\windows\system32\GfxUI.exe

2010-07-20 12:36 . 2009-07-13 12:44    94720    ----a-w-    c:\windows\system32\hccutils.dll

2010-07-20 12:36 . 2009-12-17 18:45    121344    ----a-w-    c:\windows\system32\gfxSrvc.dll

2010-07-20 12:36 . 2009-12-17 18:45    4096    ----a-w-    c:\windows\system32\IGFXDEVLib.dll

2010-07-20 12:36 . 2009-07-13 12:44    214016    ----a-w-    c:\windows\system32\igfxdev.dll

2010-07-20 12:35 . 2009-07-13 12:44    828928    ----a-w-    c:\windows\system32\igfxress.dll

2010-07-06 21:31 . 2010-07-06 21:31    10134    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe

2010-07-06 21:28 . 2010-07-06 21:28    38784    ----a-w-    c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2010-06-30 12:28 . 2004-08-04 12:00    149504    ----a-w-    c:\windows\system32\schannel.dll

2010-06-26 16:12 . 2010-06-26 16:12    2568656    ----a-w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe

2010-06-24 12:22 . 2004-08-04 12:00    916480    ----a-w-    c:\windows\system32\wininet.dll

2010-06-24 09:02 . 2004-08-04 12:00    1852032    ----a-w-    c:\windows\system32\win32k.sys

2010-06-21 15:27 . 2004-08-04 12:00    354304    ----a-w-    c:\windows\system32\drivers\srv.sys

2010-06-18 17:44 . 2004-08-04 12:00    293888    ----a-w-    c:\windows\system32\winsrv.dll

2009-12-27 18:45 . 2009-12-27 18:45    561    ----a-w-    c:\programme\StandaloneRecallCCAssign.f8c

2009-12-27 18:45 . 2009-12-27 18:45    1072    ----a-w-    c:\programme\StandaloneRecall.fm8

2001-11-05 07:30 . 2009-02-28 13:54    165376    ------w-    c:\programme\UNWISE.EXE

2009-05-01 21:02 . 2009-05-01 21:02    1044480    ----a-w-    c:\programme\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02    200704    ----a-w-    c:\programme\mozilla firefox\plugins\ssldivx.dll

2007-05-13 21:08 . 2007-05-13 21:08    5    -csha-w-    c:\windows\system32\bcadadfeee_d.dll

2007-05-13 21:06 . 2007-05-13 21:06    5    -csha-w-    c:\windows\system32\bcadadfeee_s.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]

"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]

"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]

"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MaxRecentDocs"= 11 (0xb)
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute    REG_MULTI_SZ       autocheck autochk *\0sprestrt
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"LexBceS"=2 (0x2)
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=c:\windows\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"HotKeysCmds"=c:\windows\system32\hkcmd.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\WINDOWS\\system32\\javaw.exe"=

"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\ICQ7.1\\ICQ.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704]

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672]

R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]

R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704]

R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904]

R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448]

R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640]

R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360]

S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664]

S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224]

S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824]

S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016]

S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728]

S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208]

S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024]

S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744]

S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864]

S3 SampleScanner;Ultima2000  Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416]

.

Inhalt des "geplante Tasks" Ordners
 

2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08]
 

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
 

2010-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe

FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\baumann\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=

FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll

FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: network.http.max-connections-per-server - 8

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: nglayout.initialpaint.delay - 300

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.switch.threshold - 650000

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

.

------- Dateityp-Verknüpfung -------

.

.txt=

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-09-16 17:13

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A56B088]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28

\Driver\ACPI -> ACPI.sys @ 0xb977ecb8

\Driver\atapi -> 0x8a56b088

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0

 PacketIndicateHandler -> NDIS.sys @ 0xb953ca21

 SendHandler -> NDIS.sys @ 0xb951a87b

Warning: possible MBR rootkit infection !

user & kernel MBR OK 
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]

"ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d,

   6b,69,00,06

"habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63,

   68,6a,00,4d
 

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36,

   7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\

"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d
 

[HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell]

@DACL=(02 0000)

@="Open"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2010-09-16  17:15:05

ComboFix-quarantined-files.txt  2010-09-16 15:15
 

Vor Suchlauf: 18 Verzeichnis(se), 135.330.201.600 Bytes frei

Nach Suchlauf: 24 Verzeichnis(se), 135.305.781.248 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /tutag=ggmcvz
 

- - End Of File - - 147075EF6FAB4E6A16ACB8A84B8D1627

Lade
http://filepony.de/download-defogger/
herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.

nutze den kaspersky tdss killer, log posten
Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?

Nachdem Defogger mit Disable fertig war und auf Finished geklickt hab, wurde kein Neustart durchgeführt. Hab dann disabled gelassen und Kaspersky scannen lassen. Dieser wiederum hat nichts gefunden.
Der Defogger ist immer noch disabled, soll ich warten bis du das OK zum Re-Enable gibst?
Gruß

Defogger-Log:

Code:

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 17:42 on 16/09/2010 (Name)
 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.
 

Checking for services/drivers...

SPTD -> Already disabled
 
 

-=E.O.F=-

Kaspersky-Log:

Code:

2010/09/16 17:44:05.0062        TDSS rootkit removing tool 2.4.2.1 Sep  7 2010 14:43:44

2010/09/16 17:44:05.0062        ================================================================================

2010/09/16 17:44:05.0062        SystemInfo:

2010/09/16 17:44:05.0062        

2010/09/16 17:44:05.0062        OS Version: 5.1.2600 ServicePack: 3.0

2010/09/16 17:44:05.0062        Product type: Workstation

2010/09/16 17:44:05.0062        ComputerName: xxx

2010/09/16 17:44:05.0062        UserName: xxx

2010/09/16 17:44:05.0062        Windows directory: C:\WINDOWS

2010/09/16 17:44:05.0062        System windows directory: C:\WINDOWS

2010/09/16 17:44:05.0062        Processor architecture: Intel x86

2010/09/16 17:44:05.0062        Number of processors: 2

2010/09/16 17:44:05.0062        Page size: 0x1000

2010/09/16 17:44:05.0062        Boot type: Normal boot

2010/09/16 17:44:05.0062        ================================================================================

2010/09/16 17:44:05.0437        Initialize success

2010/09/16 17:44:10.0906        ================================================================================

2010/09/16 17:44:10.0906        Scan started

2010/09/16 17:44:10.0906        Mode: Manual;

2010/09/16 17:44:10.0906        ================================================================================

2010/09/16 17:44:11.0390        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys

2010/09/16 17:44:11.0406        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys

2010/09/16 17:44:11.0453        aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys

2010/09/16 17:44:11.0484        Afc             (fe3ea6e9afc1a78e6edca121e006afb7) C:\WINDOWS\system32\drivers\Afc.sys

2010/09/16 17:44:11.0515        AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys

2010/09/16 17:44:11.0593        ALCXSENS        (a9355a51698f6901b362ef738b15631d) C:\WINDOWS\system32\drivers\ALCXSENS.SYS

2010/09/16 17:44:11.0609        ALCXWDM         (b191753b1aa2e7b11a18d5fde8248aa2) C:\WINDOWS\system32\drivers\ALCXWDM.SYS

2010/09/16 17:44:11.0718        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys

2010/09/16 17:44:11.0750        atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys

2010/09/16 17:44:11.0781        Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys

2010/09/16 17:44:11.0796        audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys

2010/09/16 17:44:11.0812        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys

2010/09/16 17:44:11.0953        BHDrvx86        (5138da8715da5f9823b753b6cb36a9a9) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys

2010/09/16 17:44:12.0031        cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys

2010/09/16 17:44:12.0062        Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys

2010/09/16 17:44:12.0078        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys

2010/09/16 17:44:12.0125        Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys

2010/09/16 17:44:12.0171        CLEDX           (b53f9635457b56dcffef750e18aec6cb) C:\WINDOWS\system32\DRIVERS\cledx.sys

2010/09/16 17:44:12.0265        cpudrv          (d01f685f8b4598d144b0cce9ff95d8d5) C:\Programme\SystemRequirementsLab\cpudrv.sys

2010/09/16 17:44:12.0328        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys

2010/09/16 17:44:12.0359        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys

2010/09/16 17:44:12.0390        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys

2010/09/16 17:44:12.0421        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys

2010/09/16 17:44:12.0437        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys

2010/09/16 17:44:12.0468        drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys

2010/09/16 17:44:12.0531        eeCtrl          (089296aedb9b72b4916ac959752bdc89) C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys

2010/09/16 17:44:12.0562        EraserUtilRebootDrv (850259334652d392e33ee3412562e583) C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

2010/09/16 17:44:12.0593        Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys

2010/09/16 17:44:12.0609        Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys

2010/09/16 17:44:12.0640        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys

2010/09/16 17:44:12.0671        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys

2010/09/16 17:44:12.0718        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys

2010/09/16 17:44:12.0734        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys

2010/09/16 17:44:12.0781        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys

2010/09/16 17:44:12.0812        ggflt           (007aea2e06e7cef7372e40c277163959) C:\WINDOWS\system32\DRIVERS\ggflt.sys

2010/09/16 17:44:12.0843        ggsemc          (c73de35960ca75c5ab4ae636b127c64e) C:\WINDOWS\system32\DRIVERS\ggsemc.sys

2010/09/16 17:44:12.0875        Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys

2010/09/16 17:44:12.0906        hamachi         (7929a161f9951d173ca9900fe7067391) C:\WINDOWS\system32\DRIVERS\hamachi.sys

2010/09/16 17:44:12.0921        HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys

2010/09/16 17:44:12.0937        HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys

2010/09/16 17:44:13.0000        HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys

2010/09/16 17:44:13.0062        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys

2010/09/16 17:44:13.0109        ialm            (7df53bb1f78de5dca8ac842868d34b01) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys

2010/09/16 17:44:13.0250        IDSxpx86        (231c3f6d5c520e99924e1e37401a90c4) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSxpx86.sys

2010/09/16 17:44:13.0296        Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys

2010/09/16 17:44:13.0406        IntcAzAudAddService (662b65eeb8d070bd1162a7b63859afcf) C:\WINDOWS\system32\drivers\RtkHDAud.sys

2010/09/16 17:44:13.0453        intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys

2010/09/16 17:44:13.0500        Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys

2010/09/16 17:44:13.0515        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys

2010/09/16 17:44:13.0531        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys

2010/09/16 17:44:13.0546        IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys

2010/09/16 17:44:13.0578        IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys

2010/09/16 17:44:13.0609        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys

2010/09/16 17:44:13.0640        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys

2010/09/16 17:44:13.0671        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys

2010/09/16 17:44:13.0687        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys

2010/09/16 17:44:13.0703        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys

2010/09/16 17:44:13.0750        KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys

2010/09/16 17:44:13.0812        mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys

2010/09/16 17:44:13.0828        Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys

2010/09/16 17:44:13.0843        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys

2010/09/16 17:44:13.0875        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys

2010/09/16 17:44:13.0890        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys

2010/09/16 17:44:13.0937        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys

2010/09/16 17:44:14.0000        MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys

2010/09/16 17:44:14.0031        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys

2010/09/16 17:44:14.0046        MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys

2010/09/16 17:44:14.0062        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2010/09/16 17:44:14.0078        MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys

2010/09/16 17:44:14.0093        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys

2010/09/16 17:44:14.0125        Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys

2010/09/16 17:44:14.0234        NAVENG          (0953bb24c1e70a99c315f44f15993c17) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100916.002\NAVENG.SYS

2010/09/16 17:44:14.0281        NAVEX15         (3ddb0bef60b65df6b110c23e17cd67dc) C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100916.002\NAVEX15.SYS

2010/09/16 17:44:14.0312        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys

2010/09/16 17:44:14.0328        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys

2010/09/16 17:44:14.0343        Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys

2010/09/16 17:44:14.0359        NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys

2010/09/16 17:44:14.0375        NDProxy         (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys

2010/09/16 17:44:14.0406        NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys

2010/09/16 17:44:14.0453        NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys

2010/09/16 17:44:14.0500        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys

2010/09/16 17:44:14.0531        Nsynas32        (4b4a21e158c039ee0888741bfe1d24e0) C:\WINDOWS\system32\drivers\Nsynas32.sys

2010/09/16 17:44:14.0562        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys

2010/09/16 17:44:14.0578        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys

2010/09/16 17:44:14.0609        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys

2010/09/16 17:44:14.0640        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys

2010/09/16 17:44:14.0656        Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys

2010/09/16 17:44:14.0671        PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys

2010/09/16 17:44:14.0718        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys

2010/09/16 17:44:14.0750        PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys

2010/09/16 17:44:14.0781        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys

2010/09/16 17:44:14.0812        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys

2010/09/16 17:44:14.0906        pfc             (444f122e68db44c0589227781f3c8b3f) C:\WINDOWS\system32\drivers\pfc.sys

2010/09/16 17:44:14.0937        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys

2010/09/16 17:44:14.0953        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys

2010/09/16 17:44:14.0984        Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys

2010/09/16 17:44:15.0015        PxHelp20        (40fedd328f98245ad201cf5f9f311724) C:\WINDOWS\system32\Drivers\PxHelp20.sys

2010/09/16 17:44:15.0093        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys

2010/09/16 17:44:15.0093        Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys

2010/09/16 17:44:15.0125        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys

2010/09/16 17:44:15.0125        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys

2010/09/16 17:44:15.0187        Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys

2010/09/16 17:44:15.0203        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys

2010/09/16 17:44:15.0234        RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys

2010/09/16 17:44:15.0265        redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys

2010/09/16 17:44:15.0328        RTLE8023xp      (185641ad7e80bfce0aa545d3ec79d557) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys

2010/09/16 17:44:15.0359        s1018bus        (1c5c2cb892553d2cf3f45a4bb323fcd6) C:\WINDOWS\system32\DRIVERS\s1018bus.sys

2010/09/16 17:44:15.0375        s1018mdfl       (38f5ea219593f19b6b3a1b9c169e3b61) C:\WINDOWS\system32\DRIVERS\s1018mdfl.sys

2010/09/16 17:44:15.0406        s1018mdm        (666af6b64fc7df92d3ca4819ea91631d) C:\WINDOWS\system32\DRIVERS\s1018mdm.sys

2010/09/16 17:44:15.0421        s1018mgmt       (f4ceda6e2ddff2af8bd745615a7ca9c0) C:\WINDOWS\system32\DRIVERS\s1018mgmt.sys

2010/09/16 17:44:15.0453        s1018nd5        (3622d9ff2253dcbe885b10736609a4ca) C:\WINDOWS\system32\DRIVERS\s1018nd5.sys

2010/09/16 17:44:15.0468        s1018obex       (49431efda842b474531c29ffae9f5d09) C:\WINDOWS\system32\DRIVERS\s1018obex.sys

2010/09/16 17:44:15.0484        s1018unic       (ac6b514cb4474f4c867d7cdc9cd54f05) C:\WINDOWS\system32\DRIVERS\s1018unic.sys

2010/09/16 17:44:15.0531        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys

2010/09/16 17:44:15.0546        serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys

2010/09/16 17:44:15.0578        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys

2010/09/16 17:44:15.0625        sfdrv01         (4c0d673281178cb496011a2e28571fc8) C:\WINDOWS\system32\drivers\sfdrv01.sys

2010/09/16 17:44:15.0640        sfhlp02         (15be2b5e4dc5b8623cf167720682abc9) C:\WINDOWS\system32\drivers\sfhlp02.sys

2010/09/16 17:44:15.0656        Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys

2010/09/16 17:44:15.0703        sfvfs02         (d5a7e09d2c6a702809e49190d52adc9f) C:\WINDOWS\system32\drivers\sfvfs02.sys

2010/09/16 17:44:15.0750        SiS315          (c10865ab0a1fd9f4ec7db70a1b8425d1) C:\WINDOWS\system32\DRIVERS\sisgrp.sys

2010/09/16 17:44:15.0781        SISAGP          (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys

2010/09/16 17:44:15.0796        SiSkp           (96ad556979fb5d5e56141219772a9ec9) C:\WINDOWS\system32\DRIVERS\srvkp.sys

2010/09/16 17:44:15.0828        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys

2010/09/16 17:44:15.0875        sptd            (a80cd850d69d996c832bea37e3a6aa1e) C:\WINDOWS\system32\Drivers\sptd.sys

2010/09/16 17:44:15.0906        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys

2010/09/16 17:44:15.0953        SRTSP           (d0ab8e989935d895f1bed8f607fa0948) C:\WINDOWS\System32\Drivers\NIS\1201000.025\SRTSP.SYS

2010/09/16 17:44:15.0968        SRTSPX          (fae9f5558a1f53670e579f9ffb4a67cc) C:\WINDOWS\system32\drivers\NIS\1201000.025\SRTSPX.SYS

2010/09/16 17:44:16.0015        Srv             (da852e3e0bf1cea75d756f9866241e57) C:\WINDOWS\system32\DRIVERS\srv.sys

2010/09/16 17:44:16.0031        st3wolf         (1e9a652d898cc96038e5e5554f79c49f) C:\WINDOWS\system32\DRIVERS\st3wolf.sys

2010/09/16 17:44:16.0062        stwlfbus        (24e09d134304fbc605626fced3e4cb50) C:\WINDOWS\system32\DRIVERS\stwlfbus.sys

2010/09/16 17:44:16.0078        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys

2010/09/16 17:44:16.0109        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys

2010/09/16 17:44:16.0296        SymDS           (67e83f8c7e80dc898a1d73b38412ba7a) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMDS.SYS

2010/09/16 17:44:16.0343        SymEFA          (3986a8de371e985ba6c82eb8da3b1e98) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMEFA.SYS

2010/09/16 17:44:16.0375        SymEvent        (5c76a63fac8a5580c5a1c4a4ed827782) C:\WINDOWS\system32\Drivers\SYMEVENT.SYS

2010/09/16 17:44:16.0390        SymIRON         (8ae632773b5192dce48f4ec8de753863) C:\WINDOWS\system32\drivers\NIS\1201000.025\Ironx86.SYS

2010/09/16 17:44:16.0421        SYMTDI          (34ff2368b7914d1b29d16aba865e982d) C:\WINDOWS\system32\drivers\NIS\1201000.025\SYMTDI.SYS

2010/09/16 17:44:16.0468        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys

2010/09/16 17:44:16.0515        TClass2k        (1b3c28d36e669deeb39331255a3feeeb) C:\WINDOWS\system32\DRIVERS\TClass2k.sys

2010/09/16 17:44:16.0562        Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys

2010/09/16 17:44:16.0578        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys

2010/09/16 17:44:16.0593        TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys

2010/09/16 17:44:16.0625        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys

2010/09/16 17:44:16.0671        uagp35          (d85938f272d1bcf3db3a31fc0a048928) C:\WINDOWS\system32\DRIVERS\uagp35.sys

2010/09/16 17:44:16.0703        UCTblHid        (adfa2e999bd2ddf89187dcbf0e3dd404) C:\WINDOWS\system32\DRIVERS\UCTblHid.sys

2010/09/16 17:44:16.0718        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys

2010/09/16 17:44:16.0765        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys

2010/09/16 17:44:16.0796        usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys

2010/09/16 17:44:16.0796        usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys

2010/09/16 17:44:16.0828        usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys

2010/09/16 17:44:16.0843        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys

2010/09/16 17:44:16.0859        usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys

2010/09/16 17:44:16.0890        usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys

2010/09/16 17:44:16.0906        usbstor         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

2010/09/16 17:44:16.0906        usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys

2010/09/16 17:44:16.0937        VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys

2010/09/16 17:44:16.0984        VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys

2010/09/16 17:44:17.0000        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys

2010/09/16 17:44:17.0015        wceusbsh        (2e8ba025d65dd49d15ea66973e2a15df) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys

2010/09/16 17:44:17.0062        Wdf01000        (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys

2010/09/16 17:44:17.0093        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys

2010/09/16 17:44:17.0140        WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys

2010/09/16 17:44:17.0187        WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys

2010/09/16 17:44:17.0203        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys

2010/09/16 17:44:17.0250        ================================================================================

2010/09/16 17:44:17.0250        Scan finished

2010/09/16 17:44:17.0250        ================================================================================

kannst du noch mal cf ausprobieren?

Klar, Defogger dabei disabled lassen?

ja, es steht da, bis angewiesen wird. und dass ist am ende.

Hatte eben bei Kaspersky noch Defogger-Fenster offen und Norton an. Vielleicht deshalb nichts gefunden worden?

Hier das CF-Log:

Code:

ComboFix 10-09-15.03 - xxx 16.09.2010  18:14:11.2.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C}

AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-08-16 bis 2010-09-16  ))))))))))))))))))))))))))))))

.
 

2010-09-15 22:33 . 2010-09-15 22:36    --------    d-----w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE

2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes

2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware

2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes

2010-09-15 19:48 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-15 19:48 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys

2010-09-15 19:10 . 2010-09-15 19:10    161296    ----a-w-    c:\windows\system32\drivers\tmcomm.sys

2010-09-11 10:35 . 2010-09-11 10:35    388096    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2010-09-05 15:10 . 2010-09-05 15:10    503808    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll

2010-09-05 15:10 . 2010-09-05 15:10    499712    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll

2010-09-05 15:10 . 2010-09-05 15:10    348160    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll

2010-09-05 15:10 . 2010-09-05 15:10    61440    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll

2010-09-05 15:10 . 2010-09-05 15:10    12800    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll

2010-09-05 11:02 . 2010-07-17 03:00    423656    ----a-w-    c:\windows\system32\deployJava1.dll

2010-09-05 10:56 . 2010-09-05 10:56    --------    d-----w-    c:\programme\Defraggler

2010-09-05 10:55 . 2010-09-05 10:55    --------    d-----w-    c:\programme\Microsoft.NET

2010-09-05 10:46 . 2010-07-20 13:05    81920    ----a-w-    c:\windows\system32\igfxCoIn_v5284.dll

2010-09-05 09:41 . 2010-09-05 09:41    --------    d-----w-    c:\programme\NT Registry Optimizer

2010-09-05 08:35 . 2010-07-29 03:33    666672    ----a-r-    c:\windows\system32\drivers\SymEFA.sys

2010-09-05 08:35 . 2010-07-29 02:54    50096    ----a-r-    c:\windows\system32\drivers\srtspx.sys

2010-09-05 08:35 . 2010-07-13 01:20    369072    ----a-r-    c:\windows\system32\drivers\symtdi.sys

2010-09-05 08:35 . 2010-06-27 04:05    134704    ----a-r-    c:\windows\system32\drivers\Ironx86.sys

2010-09-05 08:35 . 2010-06-13 10:50    339504    ----a-r-    c:\windows\system32\drivers\SymDS.sys

2010-09-05 07:58 . 2010-09-05 08:35    60808    ----a-w-    c:\windows\system32\S32EVNT1.DLL

2010-09-05 07:58 . 2010-09-05 08:35    126512    ----a-w-    c:\windows\system32\drivers\SYMEVENT.SYS

2010-09-05 07:58 . 2010-09-05 08:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Symantec Shared

2010-09-05 07:58 . 2010-09-05 08:38    --------    d-----w-    c:\windows\system32\drivers\NIS

2010-09-05 07:58 . 2010-09-05 08:43    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton

2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Norton Internet Security

2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Windows Sidebar

2010-09-05 07:54 . 2010-09-05 07:54    --------    d-----w-    c:\programme\NortonInstaller

2010-09-05 03:09 . 2010-09-05 04:18    --------    d-----w-    C:\NBRT

2010-09-04 18:21 . 2010-09-05 07:57    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller

2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\windows\system32\wbem\Repository

2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype

2010-09-04 15:37 . 2010-09-04 15:40    --------    d-s---w-    c:\dokumente und einstellungen\Administrator\Eigene Dateien

2010-09-04 15:27 . 2010-09-04 15:27    --------    d-----w-    c:\dokumente und einstellungen\Administrator\IETldCache

2010-09-04 15:15 . 2010-09-04 15:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\PrivacIE
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-16 14:42 . 2008-02-01 15:33    --------    d-----w-    c:\programme\Mozilla Thunderbird

2010-09-15 22:28 . 2006-11-26 17:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy

2010-09-15 19:18 . 2009-12-17 18:41    --------    d-----w-    c:\programme\SystemRequirementsLab

2010-09-15 17:25 . 2008-02-01 14:30    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla

2010-09-15 17:20 . 2009-06-03 12:01    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype

2010-09-15 17:20 . 2008-08-18 20:06    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM

2010-09-14 23:11 . 2009-09-20 18:50    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc

2010-09-13 15:57 . 2007-12-05 20:13    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp

2010-09-13 15:53 . 2007-03-12 18:01    --------    d-----w-    c:\programme\Winamp

2010-09-13 15:53 . 2010-03-25 18:05    --------    d-----w-    c:\programme\Winamp Detect

2010-09-11 15:46 . 2010-07-04 15:31    --------    d-----w-    c:\programme\ICQ7.1

2010-09-11 10:30 . 2008-09-15 17:34    --------    d-----w-    c:\programme\KONAMI

2010-09-11 09:46 . 2010-05-06 21:58    16    ----a-w-    c:\windows\msocreg32.dat

2010-09-08 17:47 . 2005-01-07 18:21    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe

2010-09-08 17:25 . 2010-07-06 21:49    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe

2010-09-05 20:01 . 2004-08-04 12:00    126336    ----a-w-    c:\windows\system32\drivers\ftdisk.sik

2010-09-05 11:15 . 2007-01-03 14:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic

2010-09-05 11:02 . 2006-11-03 12:05    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java

2010-09-05 11:02 . 2004-11-18 14:17    --------    d-----w-    c:\programme\Java

2010-09-05 10:58 . 2004-08-04 12:00    94746    ----a-w-    c:\windows\system32\perfc007.dat

2010-09-05 10:58 . 2004-08-04 12:00    502424    ----a-w-    c:\windows\system32\perfh007.dat

2010-09-05 10:46 . 2009-09-23 15:34    --------    d-----w-    c:\programme\CCleaner

2010-09-05 08:35 . 2010-09-05 07:58    805    ----a-w-    c:\windows\system32\drivers\SYMEVENT.INF

2010-09-05 08:35 . 2010-09-05 07:58    7456    ----a-w-    c:\windows\system32\drivers\SYMEVENT.CAT

2010-09-05 08:35 . 2004-11-18 14:14    --------    d-----w-    c:\programme\Symantec

2010-09-05 08:27 . 2010-07-25 20:49    1324    ----a-w-    c:\windows\system32\d3d9caps.dat

2010-09-04 16:49 . 2009-06-03 12:00    --------    d-----r-    c:\programme\Skype

2010-09-04 16:49 . 2006-12-29 19:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype

2010-09-04 16:48 . 2008-12-04 16:18    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss

2010-09-01 17:50 . 2010-05-26 15:00    87    ----a-w-    c:\windows\system32\ssprs.tgz.vir

2010-09-01 17:50 . 2010-05-26 15:00    73    ----a-w-    c:\windows\system32\ssprs.dll.vir

2010-09-01 17:50 . 2010-05-26 15:00    219    ----a-w-    c:\windows\system32\lsprst7.tgz.vir

2010-09-01 17:50 . 2010-05-26 15:00    205    ----a-w-    c:\windows\system32\lsprst7.dll.vir

2010-08-23 18:18 . 2010-01-16 15:54    --------    d-----w-    c:\programme\PokerStars

2010-08-22 14:15 . 2007-04-19 12:47    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ

2010-08-17 13:17 . 2004-08-04 12:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe

2010-08-07 18:20 . 2010-08-07 18:20    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers

2010-08-07 18:20 . 2010-05-15 15:48    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft

2010-08-07 18:20 . 2009-07-29 19:48    --------    d-----w-    c:\programme\DVDVideoSoft

2010-08-03 21:08 . 2009-07-20 20:19    --------    d-----w-    c:\programme\TrackMania Nations ESWC

2010-08-03 20:29 . 2010-06-21 21:19    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon

2010-08-03 20:26 . 2006-11-30 19:36    70880    -c--a-w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-07-31 17:01 . 2008-11-06 23:31    1    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-07-31 16:31 . 2008-06-07 22:36    --------    d-----w-    c:\programme\phase5

2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares

2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\programme\Antares Audio Technologies

2010-07-24 15:24 . 2006-11-06 18:56    --------    d-----w-    c:\programme\VstPlugins

2010-07-23 23:47 . 2008-02-01 14:30    --------    d-----w-    c:\programme\FileZilla FTP Client

2010-07-22 15:48 . 2004-08-04 12:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll

2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll

2010-07-20 12:58 . 2009-07-13 12:44    4123648    ----a-w-    c:\windows\system32\igxpdx32.dll

2010-07-20 12:57 . 2009-07-13 12:44    3482432    ----a-w-    c:\windows\system32\igxpdv32.dll

2010-07-20 12:57 . 2009-07-13 12:44    2003584    ----a-w-    c:\windows\system32\drivers\igxpmp32.sys

2010-07-20 12:57 . 2009-07-13 12:44    982240    ----a-w-    c:\windows\system32\igkrng500.bin

2010-07-20 12:57 . 2009-07-13 12:44    58368    ----a-w-    c:\windows\system32\igxprd32.dll

2010-07-20 12:57 . 2009-07-13 12:44    439308    ----a-w-    c:\windows\system32\igcompkrng500.bin

2010-07-20 12:57 . 2009-07-13 12:44    182784    ----a-w-    c:\windows\system32\igxpgd32.dll

2010-07-20 12:45 . 2009-07-13 12:44    10963456    ----a-w-    c:\windows\system32\ig4icd32.dll

2010-07-20 12:37 . 2009-07-13 12:44    129536    ----a-w-    c:\windows\system32\igfxtray.exe

2010-07-20 12:37 . 2009-07-13 12:44    194048    ----a-w-    c:\windows\system32\igfxpph.dll

2010-07-20 12:36 . 2009-07-13 12:44    163328    ----a-w-    c:\windows\system32\hkcmd.exe

2010-07-20 12:36 . 2009-07-13 12:44    138752    ----a-w-    c:\windows\system32\igfxpers.exe

2010-07-20 12:36 . 2009-07-13 12:44    23552    ----a-w-    c:\windows\system32\igfxexps.dll

2010-07-20 12:36 . 2009-07-13 12:44    172032    ----a-w-    c:\windows\system32\igfxext.exe

2010-07-20 12:36 . 2009-07-13 12:44    130048    ----a-w-    c:\windows\system32\igfxdo.dll

2010-07-20 12:36 . 2009-07-13 12:44    57344    ----a-w-    c:\windows\system32\igfxsrvc.dll

2010-07-20 12:36 . 2009-07-13 12:44    257536    ----a-w-    c:\windows\system32\igfxsrvc.exe

2010-07-20 12:36 . 2009-12-17 18:45    3139584    ----a-w-    c:\windows\system32\GfxUI.exe

2010-07-20 12:36 . 2009-07-13 12:44    94720    ----a-w-    c:\windows\system32\hccutils.dll

2010-07-20 12:36 . 2009-12-17 18:45    121344    ----a-w-    c:\windows\system32\gfxSrvc.dll

2010-07-20 12:36 . 2009-12-17 18:45    4096    ----a-w-    c:\windows\system32\IGFXDEVLib.dll

2010-07-20 12:36 . 2009-07-13 12:44    214016    ----a-w-    c:\windows\system32\igfxdev.dll

2010-07-20 12:35 . 2009-07-13 12:44    828928    ----a-w-    c:\windows\system32\igfxress.dll

2010-07-06 21:31 . 2010-07-06 21:31    10134    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe

2010-07-06 21:28 . 2010-07-06 21:28    38784    ----a-w-    c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2010-06-30 12:28 . 2004-08-04 12:00    149504    ----a-w-    c:\windows\system32\schannel.dll

2010-06-26 16:12 . 2010-06-26 16:12    2568656    ----a-w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe

2010-06-24 12:22 . 2004-08-04 12:00    916480    ----a-w-    c:\windows\system32\wininet.dll

2010-06-24 09:02 . 2004-08-04 12:00    1852032    ----a-w-    c:\windows\system32\win32k.sys

2010-06-21 15:27 . 2004-08-04 12:00    354304    ----a-w-    c:\windows\system32\drivers\srv.sys

2010-06-18 17:44 . 2004-08-04 12:00    293888    ----a-w-    c:\windows\system32\winsrv.dll

2009-12-27 18:45 . 2009-12-27 18:45    561    ----a-w-    c:\programme\StandaloneRecallCCAssign.f8c

2009-12-27 18:45 . 2009-12-27 18:45    1072    ----a-w-    c:\programme\StandaloneRecall.fm8

2001-11-05 07:30 . 2009-02-28 13:54    165376    ------w-    c:\programme\UNWISE.EXE

2009-05-01 21:02 . 2009-05-01 21:02    1044480    ----a-w-    c:\programme\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02    200704    ----a-w-    c:\programme\mozilla firefox\plugins\ssldivx.dll

2007-05-13 21:08 . 2007-05-13 21:08    5    -csha-w-    c:\windows\system32\bcadadfeee_d.dll

2007-05-13 21:06 . 2007-05-13 21:06    5    -csha-w-    c:\windows\system32\bcadadfeee_s.dll

.
 

(((((((((((((((((((((((((((((   SnapShot@2010-09-16_15.14.00   )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-09-16 16:14 . 2010-09-16 16:14    16384              c:\windows\Temp\Perflib_Perfdata_29c.dat

+ 2010-09-16 16:13 . 2010-09-16 16:13    16384              c:\windows\Temp\Perflib_Perfdata_25c.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]

"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]

"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]

"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MaxRecentDocs"= 11 (0xb)
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute    REG_MULTI_SZ       autocheck autochk *\0sprestrt
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"LexBceS"=2 (0x2)
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=c:\windows\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"HotKeysCmds"=c:\windows\system32\hkcmd.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\WINDOWS\\system32\\javaw.exe"=

"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\ICQ7.1\\ICQ.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704]

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672]

R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]

R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704]

R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904]

R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448]

R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640]

R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360]

S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664]

S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224]

S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824]

S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016]

S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728]

S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208]

S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024]

S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744]

S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864]

S3 SampleScanner;Ultima2000  Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416]

.

Inhalt des "geplante Tasks" Ordners
 

2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08]
 

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
 

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe

FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\xxx\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=

FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll

FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: network.http.max-connections-per-server - 8

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: nglayout.initialpaint.delay - 300

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.switch.threshold - 650000

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

.

------- Dateityp-Verknüpfung -------

.

.txt=

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-09-16 18:18

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A3E1DC8]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28

\Driver\ACPI -> ACPI.sys @ 0xb977ecb8

\Driver\atapi -> 0x8a3e1dc8

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0

 PacketIndicateHandler -> NDIS.sys @ 0xb953ca21

 SendHandler -> NDIS.sys @ 0xb951a87b

Warning: possible MBR rootkit infection !

user & kernel MBR OK 
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]

"ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d,

   6b,69,00,06

"habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63,

   68,6a,00,4d
 

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36,

   7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\

"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d
 

[HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell]

@DACL=(02 0000)

@="Open"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2010-09-16  18:19:54

ComboFix-quarantined-files.txt  2010-09-16 16:19

ComboFix2.txt  2010-09-16 15:15
 

Vor Suchlauf: 23 Verzeichnis(se), 135.289.184.256 Bytes frei

Nach Suchlauf: 24 Verzeichnis(se), 135.274.700.800 Bytes frei
 

- - End Of File - - A7027AFEB2BD7042E98C1AA076F40EA4

GMER lief seit 19:30 Uhr bist grade eben.
Musste es allerdings abbrechen, da ich morgen arbeiten muss und es immer noch nicht fertig war mit scannen.
Gibt's eine Möglichkeit den Scan etwas abzukürzen, so dass er keine 5 oder 6 Stunden läuft? So lange bin ich ja nie am PC!

1. atf cleaner:
|MG| ATF Cleaner 3.0.0.2 Download
hake alles an, auch auf dem firefox tap, wähle emty selected, bestätige mit ok.
2. ccleaner, dateien + registry bereinigen:
http://www.trojaner-board.de/51464-a...-ccleaner.html
3. systemwiederherstellung de-und reaktivieren
Windows XP - Die Systemwiederherstellung komplett abschalten
vor dem reaktivieren 5 min warten.
4. wärend gmer läuft, schaltest du alle aktieven programme, auch antivirus aus und trennst die internet verbindung.
vllt bringen diese tipps ne zeitersparniss.

Habs mal ausgeführt, wie du es beschrieben hast.
War dann weg vom PC in der Annahme es würde wieder länger dauern.
Als ich wieder kam, war ich am Anmeldebildschirm und als ich mich dann angemeldet hatte, kam die Meldung, dass das System aufgrund eines schwerwiegenden Fehlers neugestartet wurde.
Des weiteren hängt mein PC nach jedem GMER-Scan und lässt sich nicht herunterfahren.
Werde wohl morgen nochmal versuchen zu scannen, hoffe dann geht es, ansonsten müssten wir uns eine Alternative zurechtlegen.

Gruß

So, hier endlich mal ein GMER-Log.
Hat lange gedauert.

Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2010-09-19 20:22:07

Windows 5.1.2600 Service Pack 3

Running: zscfi4o6.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\pwldqpog.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            8A46F810                                                                                                                            ZwAlertResumeThread

SSDT            8A48D980                                                                                                                            ZwAlertThread

SSDT            89ED4A00                                                                                                                            ZwAllocateVirtualMemory

SSDT            8A5C3318                                                                                                                            ZwAssignProcessToJobObject

SSDT            8A524AC0                                                                                                                            ZwConnectPort

SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwCreateKey [0xA7B3A720]

SSDT            8A597E90                                                                                                                            ZwCreateMutant

SSDT            8A11EE78                                                                                                                            ZwCreateSymbolicLinkObject

SSDT            8A4E8A60                                                                                                                            ZwCreateThread

SSDT            8A5CA3E8                                                                                                                            ZwDebugActiveProcess

SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwDeleteKey [0xA7B3A9A0]

SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwDeleteValueKey [0xA7B3AF00]

SSDT            89E87130                                                                                                                            ZwDuplicateObject

SSDT            8A59C168                                                                                                                            ZwFreeVirtualMemory

SSDT            8A46AB70                                                                                                                            ZwImpersonateAnonymousToken

SSDT            8A46E0F0                                                                                                                            ZwImpersonateThread

SSDT            8A414E30                                                                                                                            ZwLoadDriver

SSDT            89B6F090                                                                                                                            ZwMapViewOfSection

SSDT            8A463520                                                                                                                            ZwOpenEvent

SSDT            8A860FC0                                                                                                                            ZwOpenProcess

SSDT            8A764050                                                                                                                            ZwOpenProcessToken

SSDT            8A4576D0                                                                                                                            ZwOpenSection

SSDT            8A415188                                                                                                                            ZwOpenThread

SSDT            8997FE78                                                                                                                            ZwProtectVirtualMemory

SSDT            8A48D9B8                                                                                                                            ZwResumeThread

SSDT            8A4DE0A8                                                                                                                            ZwSetContextThread

SSDT            8A4F0A20                                                                                                                            ZwSetInformationProcess

SSDT            8A5B8478                                                                                                                            ZwSetSystemInformation

SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                          ZwSetValueKey [0xA7B3B150]

SSDT            8A457FD0                                                                                                                            ZwSuspendProcess

SSDT            8A4B10B0                                                                                                                            ZwSuspendThread

SSDT            8A4EE240                                                                                                                            ZwTerminateProcess

SSDT            8A4B3CD0                                                                                                                            ZwTerminateThread

SSDT            8A6B2050                                                                                                                            ZwUnmapViewOfSection

SSDT            89EF9A00                                                                                                                            ZwWriteVirtualMemory
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwCallbackReturn + 2CC8                                                                                                80504564 4 Bytes  CALL DEDAA20C 
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                           SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
 

Device          \Driver\Cdrom \Device\CdRom0                                                                                                        8A3F0188

Device          \Driver\Cdrom \Device\CdRom1                                                                                                        8A3F0188

Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                                         8A452E08

Device          \Driver\atapi \Device\Ide\IdePort0                                                                                                  8A452E08

Device          \Driver\atapi \Device\Ide\IdePort1                                                                                                  8A452E08

Device          \Driver\atapi \Device\Ide\IdePort2                                                                                                  8A452E08

Device          \Driver\atapi \Device\Ide\IdePort3                                                                                                  8A452E08

Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e                                                                                         8A452E08

Device          \Driver\Cdrom \Device\CdRom2                                                                                                        8A3F0188

Device          \Driver\Cdrom \Device\CdRom3                                                                                                        8A3F0188

Device          \Driver\Cdrom \Device\CdRom4                                                                                                        8A3F0188
 

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                           SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                         SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
 

Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target2Lun0                                                                          8A16D940

Device          \Driver\st3wolf \Device\Scsi\st3wolf1                                                                                               8A16D940

Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target0Lun0                                                                          8A16D940

Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target3Lun0                                                                          8A16D940

Device          \Driver\st3wolf \Device\Scsi\st3wolf1Port4Path0Target1Lun0                                                                          8A16D940
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                                

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                     0

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                  0x50 0x35 0xAD 0xC7 ...

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                     C:\Programme\DAEMON Tools Lite\

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                       

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                         0xA5 0x50 0x02 0x4E ...

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                            0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                    0xD0 0xE6 0x8D 0x00 ...

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                    0xAE 0x51 0xE9 0xA4 ...

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                                    0xFC 0xED 0xAE 0xD5 ...

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12                                    0x35 0x75 0xDA 0xF1 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                                

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                     0

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                                  0x50 0x35 0xAD 0xC7 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                     C:\Programme\DAEMON Tools Lite\

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)                       

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                         0xA5 0x50 0x02 0x4E ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                            0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                    0x24 0xED 0x9C 0x5E ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                    0xAE 0x51 0xE9 0xA4 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                                    0xFC 0xED 0xAE 0xD5 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet)                  

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12                                    0x35 0x75 0xDA 0xF1 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                                    

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                                 0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                              0x50 0x35 0xAD 0xC7 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                                 C:\Programme\DAEMON Tools Lite\

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                                           

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                                     0xA5 0x50 0x02 0x4E ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                                        0x20 0x01 0x00 0x00 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                                      

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                                0x24 0xED 0x9C 0x5E ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1                                      

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                                0xAE 0x51 0xE9 0xA4 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2                                      

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                                0xFC 0xED 0xAE 0xD5 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3                                      

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12                                0x35 0x75 0xDA 0xF1 ...

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell@                                                                               Open

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New                                                                            

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New@                                                                           &Neu

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command                                                                    

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command@                                                                   "C:\Programme\Microsoft Office\Office\WINWORD.EXE" /n

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\command@command                                                            .0!!!gxsf(Ng]qF`H{LsWORDFiles>llT]jI{jf(=1&L[-81-] /n?

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec                                                                    

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec@                                                                   [REM _DDE_Direct][FileNew("%1")]

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Application                                                        

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Application@                                                       WinWord

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Topic                                                              

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\New\ddeexec\Topic@                                                             System

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open                                                                           

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open@                                                                          ?&ffnen

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command                                                                   

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command@                                                                  "C:\Programme\Microsoft Office\Office\WINWORD.EXE" /n

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\command@command                                                           .0!!!gxsf(Ng]qF`H{LsWORDFiles>llT]jI{jf(=1&L[-81-] /n?

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec                                                                   

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec@                                                                  [REM _DDE_Direct][FileOpen("%1")]

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Application                                                       

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Application@                                                      WinWord

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Topic                                                             

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Open\ddeexec\Topic@                                                            System

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print                                                                          

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print@                                                                         &Drucken

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec                                                                  

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec@                                                                 [REM _DDE_Minimize][FileOpen("%1")][t=IsDocumentDirty()][FilePrint 0][SetDocumentDirty t][DocClose]

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Application                                                      

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Application@                                                     WinWord

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\ifexec                                                           

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\ifexec@                                                          [FileOpen("%1")][FilePrint 0][FileExit 2]

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Topic                                                            

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Print\ddeexec\Topic@                                                           System

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto                                                                        

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec                                                                

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec@                                                               [REM _DDE_Minimize][FileOpen("%1")][FilePrintSetup "%2 on p",.DoNotSetAsSysDefault=1][FilePrint 0][DocClose 2][FilePrintSetup ""]

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Application                                                    

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Application@                                                   WinWord

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\ifexec                                                         

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\ifexec@                                                        [FileOpen("%1")][FilePrintSetup "%2 on p",.DoNotSetAsSysDefault=1][FilePrint 0][FileExit 2]

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Topic                                                          

Reg             HKLM\SOFTWARE\Classes\Applications\WINWORD.EXE\shell\Printto\ddeexec\Topic@                                                         System

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}                     

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}@iadbiiibeagnjnadmd  0x6A 0x61 0x6D 0x65 ...

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}@habbgiihkmpljcpi    0x6A 0x61 0x6D 0x65 ...
 

---- EOF - GMER 1.0.15 ----

kannst du mal das esage lab tdss remover tool versuchen
esage lab - resources