Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   online banking gesperrt wegen gozi (https://www.trojaner-board.de/94945-online-banking-gesperrt-wegen-gozi.html)

chriss3 21.01.2011 10:35
online banking gesperrt wegen gozi
 
Hallo allerseits!
Vorgestern erfuhr ich von meiner Bank, dass mein Online Banking wegen dem Gozi Trojaner gesperrt sei und man mir rate alles zu formatieren. Das fanden die schlauen Banker allerdings bereits um Weihnachten heraus, hielten es aber nicht für nötig mich zwischenzeitlich zu informieren.:aufsmaul:
Meine Internet Recherche brachte mich schnell auf dieses Forum. Andere Gozi Threads brachten mir aber keine Lösung. Ich habe Windows xp und halte Antivir und Windows updates immer aktuell. Kurz vor Weihnachten hatte ich Pinnacle VideoSpin lite installiert und hatte hinterher den rootkit "InprocServer32", der sich mit dem rootkit revealer aber wieder entfernen ließ.
Die Malwarebytes, Antvir und otl Logs hänge ich an. der bootkit remover meldet einen unknown boot code. Die xp recovery console ist schon lange bei mir installiert.
Ich hoffe, ihr könnt mir weiterhelfen und ich komme um eine Formatierung drum herum. Vielen Dank und besten Gruß
Chriss

chriss3 21.01.2011 10:37
mbam log
Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5558

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.01.2011 09:45:30
mbam-log-2011-01-20 (09-45-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|Z:\|)
Durchsuchte Objekte: 367562
Laufzeit: 1 Stunde(n), 5 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
antivir log
Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 21. Januar 2011  08:26

Es wird nach 2384044 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : abc

Versionsinformationen:
BUILD.DAT      : 10.0.0.609    31824 Bytes  13.12.2010 09:29:00
AVSCAN.EXE    : 10.0.3.5      435368 Bytes  08.12.2010 13:48:38
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  21.05.2010 09:32:29
LUKE.DLL      : 10.0.3.2      104296 Bytes  08.12.2010 13:48:39
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 09:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 11:11:36
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 11:00:53
VBASE002.VDF  : 7.11.0.1        2048 Bytes  14.12.2010 11:00:53
VBASE003.VDF  : 7.11.0.2        2048 Bytes  14.12.2010 11:00:53
VBASE004.VDF  : 7.11.0.3        2048 Bytes  14.12.2010 11:00:54
VBASE005.VDF  : 7.11.0.4        2048 Bytes  14.12.2010 11:00:54
VBASE006.VDF  : 7.11.0.5        2048 Bytes  14.12.2010 11:00:54
VBASE007.VDF  : 7.11.0.6        2048 Bytes  14.12.2010 11:00:54
VBASE008.VDF  : 7.11.0.7        2048 Bytes  14.12.2010 11:00:54
VBASE009.VDF  : 7.11.0.8        2048 Bytes  14.12.2010 11:00:54
VBASE010.VDF  : 7.11.0.9        2048 Bytes  14.12.2010 11:00:54
VBASE011.VDF  : 7.11.0.10      2048 Bytes  14.12.2010 11:00:54
VBASE012.VDF  : 7.11.0.11      2048 Bytes  14.12.2010 11:00:54
VBASE013.VDF  : 7.11.0.52    128000 Bytes  16.12.2010 07:57:39
VBASE014.VDF  : 7.11.0.91    226816 Bytes  20.12.2010 07:57:39
VBASE015.VDF  : 7.11.0.122    136192 Bytes  21.12.2010 07:57:40
VBASE016.VDF  : 7.11.0.156    122880 Bytes  24.12.2010 08:46:42
VBASE017.VDF  : 7.11.0.185    146944 Bytes  27.12.2010 13:39:59
VBASE018.VDF  : 7.11.0.228    132608 Bytes  30.12.2010 09:25:02
VBASE019.VDF  : 7.11.1.5      148480 Bytes  03.01.2011 14:04:46
VBASE020.VDF  : 7.11.1.37    156672 Bytes  07.01.2011 09:59:35
VBASE021.VDF  : 7.11.1.65    140800 Bytes  10.01.2011 09:48:20
VBASE022.VDF  : 7.11.1.87    225280 Bytes  11.01.2011 08:54:49
VBASE023.VDF  : 7.11.1.124    125440 Bytes  14.01.2011 08:54:49
VBASE024.VDF  : 7.11.1.155    132096 Bytes  17.01.2011 07:22:41
VBASE025.VDF  : 7.11.1.156      2048 Bytes  17.01.2011 07:22:41
VBASE026.VDF  : 7.11.1.157      2048 Bytes  17.01.2011 07:22:41
VBASE027.VDF  : 7.11.1.158      2048 Bytes  17.01.2011 07:22:41
VBASE028.VDF  : 7.11.1.159      2048 Bytes  17.01.2011 07:22:41
VBASE029.VDF  : 7.11.1.160      2048 Bytes  17.01.2011 07:22:41
VBASE030.VDF  : 7.11.1.161      2048 Bytes  17.01.2011 07:22:41
VBASE031.VDF  : 7.11.1.182    111104 Bytes  19.01.2011 07:39:17
Engineversion  : 8.2.4.148
AEVDF.DLL      : 8.1.2.1      106868 Bytes  02.08.2010 09:23:00
AESCRIPT.DLL  : 8.1.3.52    1282426 Bytes  07.01.2011 08:51:42
AESCN.DLL      : 8.1.7.2      127349 Bytes  24.11.2010 07:14:59
AESBX.DLL      : 8.1.3.2      254324 Bytes  24.11.2010 07:14:59
AERDL.DLL      : 8.1.9.2      635252 Bytes  22.09.2010 19:31:25
AEPACK.DLL    : 8.2.4.7      512375 Bytes  31.12.2010 09:25:05
AEOFFICE.DLL  : 8.1.1.15      205178 Bytes  18.01.2011 07:22:43
AEHEUR.DLL    : 8.1.2.66    3166582 Bytes  18.01.2011 07:22:43
AEHELP.DLL    : 8.1.16.0      246136 Bytes  05.12.2010 08:45:10
AEGEN.DLL      : 8.1.5.1      397683 Bytes  07.01.2011 08:51:40
AEEMU.DLL      : 8.1.3.0      393589 Bytes  24.11.2010 07:14:56
AECORE.DLL    : 8.1.19.0      196984 Bytes  05.12.2010 08:45:09
AEBB.DLL      : 8.1.1.0        53618 Bytes  21.05.2010 09:32:28
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL    : 10.0.0.0      44904 Bytes  14.01.2010 09:59:07
AVREP.DLL      : 10.0.0.8      62209 Bytes  18.02.2010 14:47:40
AVREG.DLL      : 10.0.3.2      53096 Bytes  07.11.2010 17:07:03
AVSCPLR.DLL    : 10.0.3.2      84328 Bytes  08.12.2010 13:48:38
AVARKT.DLL    : 10.0.22.6    231784 Bytes  08.12.2010 13:48:38
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  26.01.2010 07:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 11:10:08
RCTEXT.DLL    : 10.0.58.0      98152 Bytes  07.11.2010 17:07:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 21. Januar 2011  08:26

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\License information\datasecu
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\License information\rkeysecu
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'NOTEPAD.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'msseces.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDClock.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '468' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: Freitag, 21. Januar 2011  09:49
Benötigte Zeit:  1:22:31 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  15404 Verzeichnisse wurden überprüft
 643420 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 643420 Dateien ohne Befall
  3709 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 615241 Objekte wurden beim Rootkitscan durchsucht
      3 Versteckte Objekte wurden gefunden

chriss3 21.01.2011 10:43
die otl logs habe ich auf einen Zeitraum von 60 Tagen erstellt, weil die Entdeckung des Trojaners durch die Bank schon so lange her ist. Wenn ich Euch damit zuviel Arbeit mache, erstelle ich nochmal den Standard 30 Tage log - kann ich dann aber wahrscheinlich erst morgen abend posten, weil ich heute und morgen lange arbeiten muss.

OTL Logfile:

Code:
OTL logfile created on: 19.01.2011 14:12:44 - Run 1
OTL by OldTimer - Version 3.2.20.2    Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 80,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 61,89 Gb Free Space | 63,37% Space Free | Partition Type: NTFS
Drive D: | 200,43 Gb Total Space | 101,01 Gb Free Space | 50,40% Space Free | Partition Type: NTFS
Drive E: | 298,09 Gb Total Space | 257,61 Gb Free Space | 86,42% Space Free | Partition Type: NTFS
 
Computer Name: abc | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 60 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - D:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe (Logitech Inc.)
PRC - C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe (Logitech Inc.)
PRC - C:\WINDOWS\system32\PSIService.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (MsMpSvc) -- C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (npggsvc) -- C:\WINDOWS\System32\GameMon.des (INCA Internet Co., Ltd.)
SRV - (FsUsbExService) -- C:\WINDOWS\system32\FsUsbExService.Exe (Teruten)
SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe ()
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (PnkBstrK) -- C:\WINDOWS\system32\drivers\PnkBstrK.sys ()
DRV - (Haspnt) -- C:\WINDOWS\system32\drivers\Haspnt.sys (Aladdin Knowledge Systems)
DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                          )
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()
DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys ()
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (FsUsbExDisk) -- C:\WINDOWS\system32\FsUsbExDisk.Sys ()
DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.)
DRV - (61883) -- C:\WINDOWS\system32\drivers\61883.sys (Microsoft Corporation)
DRV - (Avc) -- C:\WINDOWS\system32\drivers\avc.sys (Microsoft Corporation)
DRV - (MSDV) -- C:\WINDOWS\system32\drivers\msdv.sys (Microsoft Corporation)
DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (gdrv) -- C:\WINDOWS\gdrv.sys (Windows (R) 2000 DDK provider)
DRV - (sscdmdm) -- C:\WINDOWS\system32\drivers\sscdmdm.sys (MCCI Corporation)
DRV - (sscdmdfl) -- C:\WINDOWS\system32\drivers\sscdmdfl.sys (MCCI Corporation)
DRV - (sscdbus) SAMSUNG USB Composite Device driver (WDM) -- C:\WINDOWS\system32\drivers\sscdbus.sys (MCCI Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (JRAID) -- C:\WINDOWS\system32\DRIVERS\jraid.sys (JMicron Technology Corp.)
DRV - (motmodem) -- C:\WINDOWS\system32\drivers\motmodem.sys (Motorola)
DRV - (Hardlock) -- C:\WINDOWS\system32\drivers\hardlock.sys (Aladdin Knowledge Systems Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bf2.de/forum/index.php?page=Index
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.n-tv.de/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.01.18 18:06:50 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.01.18 18:06:50 | 000,000,000 | ---D | M]
 
[2009.03.25 22:13:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2011.01.18 18:08:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1ocv3mwk.default\extensions
[2010.05.21 10:12:47 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1ocv3mwk.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.01.18 18:08:50 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.10.24 22:33:43 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.10.24 22:33:33 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2011.01.18 18:06:47 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.01.18 18:06:47 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.01.18 18:06:47 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.01.18 18:06:47 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.01.18 18:06:47 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.01.12 17:00:14 | 000,427,930 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1        www.007guard.com
O1 - Hosts: 127.0.0.1        007guard.com
O1 - Hosts: 127.0.0.1        008i.com
O1 - Hosts: 127.0.0.1        www.008k.com
O1 - Hosts: 127.0.0.1        008k.com
O1 - Hosts: 127.0.0.1        www.00hq.com
O1 - Hosts: 127.0.0.1        00hq.com
O1 - Hosts: 127.0.0.1        010402.com
O1 - Hosts: 127.0.0.1        www.032439.com
O1 - Hosts: 127.0.0.1        032439.com
O1 - Hosts: 127.0.0.1        www.0scan.com
O1 - Hosts: 127.0.0.1        0scan.com
O1 - Hosts: 127.0.0.1        1000gratisproben.com
O1 - Hosts: 127.0.0.1        www.1000gratisproben.com
O1 - Hosts: 127.0.0.1        1001namen.com
O1 - Hosts: 127.0.0.1        www.1001namen.com
O1 - Hosts: 127.0.0.1        100888290cs.com
O1 - Hosts: 127.0.0.1        www.100888290cs.com
O1 - Hosts: 127.0.0.1        www.100sexlinks.com
O1 - Hosts: 127.0.0.1        100sexlinks.com
O1 - Hosts: 127.0.0.1        10sek.com
O1 - Hosts: 127.0.0.1        www.10sek.com
O1 - Hosts: 127.0.0.1        www.1-2005-search.com
O1 - Hosts: 127.0.0.1        1-2005-search.com
O1 - Hosts: 14760 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O4 - HKLM..\Run: [36X Raid Configurer] C:\WINDOWS\System32\xRaidSetup.exe (Gigabyte Technology Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe ()
O4 - HKLM..\Run: [Launch LCDMon] C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe (Logitech Inc.)
O4 - HKLM..\Run: [MSC] C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKCU..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207259953031 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.04.03 22:41:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - E:\autorun.inf -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: bootINST - (C:\WINDOWS\system32\comsgfat.dll) -  File not found
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 60 Days ==========
 
[2011.01.19 13:56:56 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy
[2011.01.19 13:46:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads
[2011.01.19 13:40:54 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2011.01.19 13:38:06 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2011.01.19 13:34:20 | 000,083,968 | ---- | C] (eSage Lab) -- C:\Dokumente und Einstellungen\***\Desktop\remover.exe
[2011.01.19 08:31:16 | 000,274,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll
[2011.01.19 08:31:16 | 000,017,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll.mui
[2011.01.18 21:27:51 | 000,401,720 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe
[2011.01.18 21:02:05 | 000,162,616 | ---- | C] (Sysinternals - www.sysinternals.com) -- C:\RegDelNull.exe
[2011.01.18 18:02:54 | 002,790,864 | ---- | C] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\install_flash_player.exe
[2011.01.18 15:07:07 | 000,222,080 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MpSigStub.exe
[2011.01.18 15:04:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2011.01.18 15:04:16 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Client
[2011.01.18 15:00:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-0-Dateien
[2011.01.18 15:00:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-2-Dateien
[2011.01.18 14:59:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-Dateien
[2011.01.18 14:58:26 | 008,135,296 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\***\Desktop\mseinstall.exe
[2011.01.18 11:09:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\wohnung2010_12
[2011.01.18 11:09:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\simit
[2011.01.14 11:33:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\order-Dateien
[2011.01.14 11:09:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\print-Dateien
[2011.01.13 10:26:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\me
[2011.01.05 10:41:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\My NPS Files
[2011.01.03 11:22:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\im010_12
[2011.01.03 11:01:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\mission guide-Dateien
[2010.12.30 11:35:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\mbe
[2010.12.24 16:19:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\köhler
[2010.12.24 09:52:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\videobearbeitung
[2010.12.24 09:52:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\ff13
[2010.12.22 19:36:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\anti_rootkit_2010_dez
[2010.12.15 12:10:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Pinnacle VideoSpin
[2010.12.15 11:59:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
[2010.12.15 10:48:44 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndproxy.sys
[2010.11.29 16:40:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\fenster 305
[2010.11.26 15:21:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\WHDDF
 
========== Files - Modified Within 60 Days ==========
 
[2011.01.19 13:57:46 | 000,000,488 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2011.01.19 13:39:32 | 000,011,197 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\bootkit_rem.odt
[2011.01.19 13:38:09 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2011.01.19 13:34:02 | 000,039,605 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\bootkit_remover.rar
[2011.01.19 13:30:00 | 004,157,687 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CoFi.exe
[2011.01.19 13:18:52 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2011.01.19 13:13:18 | 000,276,202 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2011.01.19 13:13:14 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.01.19 13:13:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.01.19 13:12:10 | 011,534,336 | ---- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.dat
[2011.01.19 09:57:52 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\bmgl18l5.exe
[2011.01.19 09:22:17 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2011.01.18 21:33:14 | 000,026,064 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2011.01.18 21:32:48 | 001,447,096 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.01.18 21:27:31 | 000,318,369 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.zip
[2011.01.18 18:03:04 | 002,790,864 | ---- | M] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\***\Desktop\install_flash_player.exe
[2011.01.18 17:36:47 | 000,010,240 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.18 15:05:15 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[2011.01.18 15:00:47 | 000,185,093 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-0.htm
[2011.01.18 15:00:34 | 000,107,387 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-2.htm
[2011.01.18 14:59:11 | 000,140,818 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner.htm
[2011.01.18 14:58:37 | 008,135,296 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\***\Desktop\mseinstall.exe
[2011.01.18 12:04:40 | 000,100,758 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\otl_scan.rtf
[2011.01.14 11:35:11 | 000,040,544 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\print.html
[2011.01.14 11:33:53 | 000,041,174 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\order.htm
[2011.01.12 17:00:14 | 000,427,930 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.01.12 10:47:05 | 000,060,707 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_treasure.png
[2011.01.12 10:46:15 | 000,103,731 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_synthesis.png
[2011.01.12 10:45:33 | 000,069,581 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_chocobo.png
[2011.01.11 11:04:49 | 000,065,536 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\gPVCUK60.doc
[2011.01.08 09:21:55 | 000,427,804 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110112-170014.backup
[2011.01.07 11:48:58 | 000,000,472 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\gc.gdb
[2011.01.07 10:10:14 | 000,012,862 | ---- | M] () -- C:\WINDOWS\EPISMG00.SWB
[2011.01.05 18:27:41 | 000,010,965 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\waren.odt
[2011.01.05 09:19:38 | 000,051,086 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Email_Auftragsstatusaenderun39374.pdf
[2011.01.04 21:27:41 | 000,271,086 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\800px.png
[2011.01.03 18:58:38 | 000,014,949 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\stone.pdf
[2011.01.03 11:01:41 | 000,270,883 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\mission guide.htm
[2011.01.02 19:15:54 | 000,002,828 | -HS- | M] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2011.01.02 11:35:00 | 008,364,423 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\180.gpx
[2010.12.31 10:48:28 | 000,024,741 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\011_01.pdf
[2010.12.24 15:46:39 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.12.23 22:10:27 | 000,002,421 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\ttestset0.odb
[2010.12.22 08:57:44 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.18 19:45:53 | 000,426,940 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110108-092155.backup
[2010.12.13 13:25:20 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\test
[2010.12.08 15:04:32 | 000,426,196 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20101218-194553.backup
[2010.11.29 19:17:20 | 000,017,408 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\WebpageIcons.db
[2010.11.28 11:47:30 | 003,817,289 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\CIMG0001.JPG
[2010.11.24 08:15:00 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
 
========== Files Created - No Company Name ==========
 
[2011.01.19 13:57:46 | 000,000,488 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2011.01.19 13:39:32 | 000,011,197 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\bootkit_rem.odt
[2011.01.19 13:34:01 | 000,039,605 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\bootkit_remover.rar
[2011.01.19 13:29:47 | 004,157,687 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CoFi.exe
[2011.01.19 09:57:50 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\bmgl18l5.exe
[2011.01.18 21:27:29 | 000,318,369 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.zip
[2011.01.18 15:09:48 | 000,000,416 | -H-- | C] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2011.01.18 15:05:15 | 000,001,912 | ---- | C] () -- C:\WINDOWS\epplauncher.mif
[2011.01.18 15:00:46 | 000,185,093 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-0.htm
[2011.01.18 15:00:34 | 000,107,387 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner-2.htm
[2011.01.18 14:59:10 | 000,140,818 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\92521-tan-trojaner.htm
[2011.01.18 12:04:39 | 000,100,758 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\otl_scan.rtf
[2011.01.14 11:33:53 | 000,041,174 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\order.htm
[2011.01.14 11:09:56 | 000,040,544 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\print.html
[2011.01.14 10:52:18 | 034,455,547 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Works.pdf
[2011.01.12 10:47:05 | 000,060,707 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_treasure.png
[2011.01.12 10:46:15 | 000,103,731 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_synthesis.png
[2011.01.12 10:45:32 | 000,069,581 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\final_fantasy_xiii_chocobo.png
[2011.01.11 11:04:49 | 000,065,536 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\AngPVCUKö60.doc
[2011.01.07 11:48:58 | 000,000,472 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\gc2.gdb
[2011.01.07 10:43:44 | 008,364,423 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\180.gpx
[2011.01.05 09:19:38 | 000,051,086 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Email_Auftragsstatusaender4.pdf
[2011.01.04 21:27:40 | 000,271,086 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\ard-800px.png
[2011.01.03 18:58:37 | 000,014,949 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\stone.pdf
[2011.01.03 11:01:40 | 000,270,883 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\mission guide.htm
[2010.12.31 10:48:28 | 000,024,741 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\011_01.pdf
[2010.12.23 22:10:27 | 000,002,421 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\testse.odb
[2010.12.13 13:25:20 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\***\test
[2010.11.28 12:07:34 | 003,817,289 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\CIMG0001.JPG
[2010.07.05 08:51:45 | 000,165,376 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2010.06.13 11:44:07 | 000,000,383 | ---- | C] () -- C:\WINDOWS\System32\haspdos.sys
[2010.04.15 19:54:07 | 000,000,358 | ---- | C] () -- C:\WINDOWS\bctester_de.INI
[2010.02.15 23:08:55 | 000,017,408 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\WebpageIcons.db
[2010.01.12 04:35:44 | 000,080,416 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2009.12.25 12:35:58 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll
[2009.12.25 12:35:58 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys
[2009.12.25 12:35:50 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\$_hpcst$.hpc
[2009.12.21 12:59:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\geotrans2.INI
[2009.09.04 21:22:18 | 000,000,089 | ---- | C] () -- C:\WINDOWS\ULead32.ini
[2009.09.03 18:38:46 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2009.07.29 11:48:51 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2009.07.29 11:48:51 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2009.07.01 15:57:48 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys
[2009.04.04 17:27:15 | 000,000,225 | ---- | C] () -- C:\WINDOWS\LOGINPUT.INI
[2009.04.04 17:27:15 | 000,000,213 | ---- | C] () -- C:\WINDOWS\PCWGXDRV.INI
[2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008.05.26 13:35:55 | 000,000,577 | ---- | C] () -- C:\WINDOWS\System32\gmsblist.dll
[2008.05.25 19:50:21 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2008.05.15 18:20:47 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2008.05.15 18:19:48 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD-Start.INI
[2008.05.13 17:33:52 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.05.02 20:42:27 | 000,010,240 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.04.30 16:52:16 | 000,137,200 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2008.04.30 16:52:16 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PnkBstrK.sys
[2008.04.28 19:38:14 | 000,002,828 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2008.04.28 19:38:14 | 000,000,088 | RHS- | C] () -- C:\WINDOWS\System32\F164002D70.sys
[2008.04.28 14:54:19 | 000,000,206 | ---- | C] () -- C:\WINDOWS\System32\dcffb5_g.dll
[2008.04.05 16:43:59 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008.04.05 16:42:15 | 000,000,142 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.04.04 11:33:07 | 000,000,311 | ---- | C] () -- C:\WINDOWS\game.ini
[2008.04.04 11:23:19 | 000,717,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2008.04.04 08:59:38 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys
[2008.04.04 01:09:08 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.04.04 00:29:01 | 000,026,064 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2008.04.03 23:29:42 | 001,069,228 | ---- | C] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2008.04.03 23:29:41 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.04.03 23:29:22 | 000,000,062 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
[2008.04.03 22:49:56 | 003,739,676 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2008.04.03 22:45:54 | 000,000,062 | -HS- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\desktop.ini
[2008.04.03 22:41:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\control.ini
[2008.04.03 22:39:20 | 000,000,037 | ---- | C] () -- C:\WINDOWS\vbaddin.ini
[2008.04.03 22:39:20 | 000,000,036 | ---- | C] () -- C:\WINDOWS\vb.ini
[2008.04.03 22:38:54 | 000,027,055 | ---- | C] () -- C:\WINDOWS\System32\tslabels.ini
[2008.04.03 22:38:53 | 000,003,999 | ---- | C] () -- C:\WINDOWS\System32\msdtcprf.ini
[2007.12.05 00:41:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.10.25 17:26:10 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2004.08.04 13:00:00 | 001,015,477 | ---- | C] () -- C:\WINDOWS\System32\esentprf.ini
[2004.08.04 13:00:00 | 000,733,696 | ---- | C] () -- C:\WINDOWS\System32\qedwipes.dll
[2004.08.04 13:00:00 | 000,355,112 | ---- | C] () -- C:\WINDOWS\System32\msjetoledb40.dll
[2004.08.04 13:00:00 | 000,270,848 | ---- | C] () -- C:\WINDOWS\System32\sbe.dll
[2004.08.04 13:00:00 | 000,253,440 | ---- | C] () -- C:\WINDOWS\System32\compatui.dll
[2004.08.04 13:00:00 | 000,199,168 | ---- | C] () -- C:\WINDOWS\System32\ir32_32.dll
[2004.08.04 13:00:00 | 000,186,880 | ---- | C] () -- C:\WINDOWS\System32\encdec.dll
[2004.08.04 13:00:00 | 000,094,282 | ---- | C] () -- C:\WINDOWS\System32\msencode.dll
[2004.08.04 13:00:00 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\amstream.dll
[2004.08.04 13:00:00 | 000,053,478 | ---- | C] () -- C:\WINDOWS\System32\tcpmon.ini
[2004.08.04 13:00:00 | 000,042,809 | ---- | C] () -- C:\WINDOWS\System32\key01.sys
[2004.08.04 13:00:00 | 000,042,537 | ---- | C] () -- C:\WINDOWS\System32\keyboard.sys
[2004.08.04 13:00:00 | 000,035,648 | ---- | C] () -- C:\WINDOWS\System32\ntio411.sys
[2004.08.04 13:00:00 | 000,035,424 | ---- | C] () -- C:\WINDOWS\System32\ntio412.sys
[2004.08.04 13:00:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\ntio804.sys
[2004.08.04 13:00:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\ntio404.sys
[2004.08.04 13:00:00 | 000,034,032 | ---- | C] () -- C:\WINDOWS\System32\ntio.sys
[2004.08.04 13:00:00 | 000,029,370 | ---- | C] () -- C:\WINDOWS\System32\ntdos411.sys
[2004.08.04 13:00:00 | 000,029,274 | ---- | C] () -- C:\WINDOWS\System32\ntdos412.sys
[2004.08.04 13:00:00 | 000,029,146 | ---- | C] () -- C:\WINDOWS\System32\ntdos804.sys
[2004.08.04 13:00:00 | 000,029,146 | ---- | C] () -- C:\WINDOWS\System32\ntdos404.sys
[2004.08.04 13:00:00 | 000,027,914 | ---- | C] () -- C:\WINDOWS\System32\ntdos.sys
[2004.08.04 13:00:00 | 000,027,097 | ---- | C] () -- C:\WINDOWS\System32\country.sys
[2004.08.04 13:00:00 | 000,021,542 | ---- | C] () -- C:\WINDOWS\System32\mqperf.ini
[2004.08.04 13:00:00 | 000,017,241 | ---- | C] () -- C:\WINDOWS\System32\rsvp.ini
[2004.08.04 13:00:00 | 000,015,360 | ---- | C] () -- C:\WINDOWS\System32\tsd32.dll
[2004.08.04 13:00:00 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\msdmo.dll
[2004.08.04 13:00:00 | 000,014,060 | ---- | C] () -- C:\WINDOWS\System32\pschdprf.ini
[2004.08.04 13:00:00 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\win87em.dll
[2004.08.04 13:00:00 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\scriptpw.dll
[2004.08.04 13:00:00 | 000,009,032 | ---- | C] () -- C:\WINDOWS\System32\ansi.sys
[2004.08.04 13:00:00 | 000,006,287 | ---- | C] () -- C:\WINDOWS\System32\rasctrs.ini
[2004.08.04 13:00:00 | 000,004,992 | ---- | C] () -- C:\WINDOWS\System32\himem.sys
[2004.08.04 13:00:00 | 000,004,438 | ---- | C] () -- C:\WINDOWS\System32\perfci.ini
[2004.08.04 13:00:00 | 000,004,233 | ---- | C] () -- C:\WINDOWS\System32\perfwci.ini
[2004.08.04 13:00:00 | 000,002,656 | ---- | C] () -- C:\WINDOWS\System32\netware.drv
[2004.08.04 13:00:00 | 000,001,783 | ---- | C] () -- C:\WINDOWS\System32\perffilt.ini
[2004.08.04 13:00:00 | 000,001,405 | ---- | C] () -- C:\WINDOWS\msdfmap.ini
[2004.08.04 13:00:00 | 000,000,602 | ---- | C] () -- C:\WINDOWS\win.ini
[2004.08.04 13:00:00 | 000,000,369 | ---- | C] () -- C:\WINDOWS\System32\prodspec.ini
[2004.08.04 13:00:00 | 000,000,227 | ---- | C] () -- C:\WINDOWS\system.ini
[2001.08.18 05:54:08 | 000,157,696 | ---- | C] () -- C:\WINDOWS\System32\paqsp.dll
 
========== LOP Check ==========
 
[2008.07.27 10:15:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
[2010.06.06 14:52:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CwGet
[2009.10.29 10:53:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
[2010.12.15 11:59:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
[2008.06.03 08:07:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2009.07.29 11:50:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tages
[2010.08.05 08:59:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2008.04.16 09:59:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\.tswebeditor
[2011.01.05 18:25:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Azureus
[2008.04.04 11:23:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DAEMON Tools
[2009.12.25 14:44:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\EurekaLog
[2010.10.15 20:17:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla
[2010.10.15 20:41:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FMZilla
[2008.04.29 11:57:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\GARMIN
[2008.07.04 19:41:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HTML Executable
[2008.10.09 23:30:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mount&Blade
[2009.09.03 18:25:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Pegasys Inc
[2009.12.25 12:35:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Samsung
[2008.04.14 13:53:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SlySoft
[2010.10.21 20:42:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Spesoft Audio Converter
[2010.03.08 21:11:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TS3Client
[2009.09.12 17:09:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TubeBox
[2009.07.29 11:51:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ubisoft
[2009.11.16 12:26:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vphonet
[2011.01.19 13:18:52 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 146 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5F64C164

< End of report >
--- --- ---

--- --- ---



OTL EXTRAS Logfile:
Code:
OTL Extras logfile created on: 19.01.2011 14:12:44 - Run 1
OTL by OldTimer - Version 3.2.20.2    Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 80,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 61,89 Gb Free Space | 63,37% Space Free | Partition Type: NTFS
Drive D: | 200,43 Gb Total Space | 101,01 Gb Free Space | 50,40% Space Free | Partition Type: NTFS
Drive E: | 298,09 Gb Total Space | 257,61 Gb Free Space | 86,42% Space Free | Partition Type: NTFS
 
Computer Name: abc | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 60 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- Reg Error: Key error.
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Spiele\EVE\bin\ExeFile.exe" = D:\Spiele\EVE\bin\ExeFile.exe:*:Enabled:CCP ExeFile
"D:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe" = D:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) -- ()
"D:\Programme\tswebeditor\tswebeditor.exe" = D:\Programme\tswebeditor\tswebeditor.exe:*:Disabled:tsWebEditor -- (thaler)
"D:\Programme\Azureus\Azureus.exe" = D:\Programme\Azureus\Azureus.exe:*:Enabled:Azureus -- (Aelitis)
"D:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe" = D:\Programme\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:*:Enabled:Crysis_32 -- (Crytek GmbH)
"D:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe" = D:\Programme\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32 -- (Crytek GmbH)
"D:\Programme\Foxit Software\PDF Editor\PDFEdit.exe" = D:\Programme\Foxit Software\PDF Editor\PDFEdit.exe:*:Disabled:Foxit PDF Editor, the first REAL editor for PDF files! -- (Foxit Software Company)
"D:\Programme\EA Games\Mirror's Edge\Binaries\MirrorsEdge.exe" = D:\Programme\EA Games\Mirror's Edge\Binaries\MirrorsEdge.exe:*:Enabled:Mirror's Edge™ -- (EA Digital Illusions CE AB)
"D:\Programme\Ubisoft\Related Designs\ANNO 1404\tools\Anno4Web.exe" = D:\Programme\Ubisoft\Related Designs\ANNO 1404\tools\Anno4Web.exe:*:Disabled:Anno4Web -- ()
"D:\Programme\Vphonet\Vphonet.exe" = D:\Programme\Vphonet\Vphonet.exe:*:Enabled:Vphonet
"D:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe" = D:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- (PeeringPortal)
"D:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe" = D:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- (PeeringPortal)
"D:\Programme\Activision\Call of Duty - World at War\CoDWaW.exe" = D:\Programme\Activision\Call of Duty - World at War\CoDWaW.exe:*:Enabled:Call of Duty(R) - World at War(TM)  -- (Activision Blizzard, Inc.)
"D:\Programme\Activision\Call of Duty - World at War\CoDWaWmp.exe" = D:\Programme\Activision\Call of Duty - World at War\CoDWaWmp.exe:*:Enabled:Call of Duty(R) - World at War(TM)  -- (Activision Blizzard, Inc.)
"D:\Programme\Free Music Zilla\FMZilla.exe" = D:\Programme\Free Music Zilla\FMZilla.exe:*:Disabled:FMZilla Module
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{000E79B7-E725-4F01-870A-C12942B7F8E4}" = Crysis(R)
"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404
"{0523EAF4-402C-4435-A0DA-13C40193D811}" = Logitech GamePanel Software 2.02
"{11439F51-B8D2-4736-9CDF-8889FEBE1031}" = Nero 7 Premium
"{1873789F-59D5-4002-8A2F-60A827B78F98}_is1" = GmapTool 0.5.3
"{1B14B0C3-2D60-477C-A1FE-B88E60948854}" = OpenOffice.org 2.4
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20962D9D-D7B9-4AEE-B72B-5C9A45A1B402}" = Call of Duty(R) - World at War(TM) 1.6 Patch
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22
"{2BF0AE92-C3BC-4112-9066-1546342B1FAE}" = Call of Duty(R) - World at War(TM) 1.2 Patch
"{31492759-0E89-46B5-9770-F6E5808E3017}" = xImage
"{3324A5DC-C7F6-430A-ACC8-F251CD8F4FC7}" = Motorola Driver Installation
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3521F7CF-9343-4C1F-AE5E-0D2A57A18D2B}" = Call of Duty(R) - World at War(TM) 1.5 Patch
"{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}" = Gigabyte Raid Configurer
"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404
"{46E7E808-5AD2-44B6-B52C-68EB15182D8A}" = TrekMap v2
"{48B51112-BA23-42F9-AB81-7CC9F7A6E99A}" = tsWebEditor 20060218
"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5E3CFCA6-C95A-47CB-A822-7FA80D423AF2}" = MapSource
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{64E72FB1-2343-4977-B4A8-262CD53D0BD3}" = Corel Paint Shop Pro Photo X2
"{6A69D94E-C569-4154-9643-72E94D1DDFDA}" = XPS Essentials Pack
"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}" = Avanquest update
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{774088D4-0777-4D78-904D-E435B318F5D2}" = Microsoft Antimalware
"{7782916E-3D46-4F1F-AC4B-3FB9D17049F4}" = Microsoft Antimalware Service DE-DE Language Pack
"{77A776C4-D10F-416D-88F0-53F2D9DCD9B3}" = Microsoft Security Client
"{859B9BCA-5376-4566-9F88-C6C9DAA7A925}" = Microsoft Security Client DE-DE Language Pack
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A0F584A7-B0C2-4D90-9580-15456B9CF63C}" = MapSource - Trip & Waypoint Manager v2
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{AC76BA86-7AD7-5464-3428-800000000003}" = Spelling Dictionaries Support For Adobe Reader 8
"{AEDBD563-24BB-4EE3-8366-A654DAC2D988}" = Mirror's Edge™
"{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BAD8CA9C-77C0-4663-B00B-A8D3B13C341B}" = Motorola Phone Tools
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1CE7EE2-8BCE-4F22-85C0-58331E33621E}" = Motorola Phone Tools
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC016F21-3970-11DE-B878-005056806466}" = Google Earth
"{CC862A04-B2B0-4A79-ADD2-4B76D6CF4DCD}" = Call of Duty(R) - World at War(TM) 1.4 Patch
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CF07A1C9-098F-47DD-99E0-B6558C33871B}" = Garmin MapSource
"{D80A6A73-E58A-4673-AFF5-F12D7110661F}" = Call of Duty(R) - World at War(TM)
"{DCA0A35D-30F1-4ED0-971F-5FFD2F60BB08}" = bcTester 4.8 (de)
"{E237FA24-CFB3-431F-B356-DF8FB116DE4B}" = Call of Duty(R) - World at War(TM) 1.7 Patch
"{E4406ED3-B04C-44F1-ABB4-08775B74934F}" = Call Of Cthulhu DCoTE
"{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"{E4D15328-8C89-484B-B9AA-F5BE9EA6D01C}" = NVIDIA PhysX v8.10.17
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"6194C28A8F62DD817EA1B918E6E46E806A21B452" = Windows-Treiberpaket - MobileTop (sshpmdm) Modem  (02/23/2007 2.5.0.0)
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"7-Zip" = 7-Zip 4.57
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Agfa ScanWise 1.20" = Agfa ScanWise 1.20
"Audacity_is1" = Audacity 1.2.6
"Audiograbber" = Audiograbber 1.83 SE
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Azureus" = Azureus
"Battle for Wesnoth 1.6.5" = Battle for Wesnoth 1.6.5
"CCleaner" = CCleaner
"cGPSmapper Free_is1" = cGPSmapper Free 0100d
"CloneDVD2" = CloneDVD2
"CrypTool" = CrypTool 1.4.10
"CwGet_is1" = CwGet V1.80
"DivX Setup.divx.com" = DivX-Setup
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"Foxit PDF Editor" = Foxit PDF Editor
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8
"GSAK_is1" = GSAK 7.7.0.109 (Final)
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{149464D9-B06F-4505-9968-FD1206F67AD3}" = Call of Duty(R) - World at War(TM) 1.3 Patch
"InstallShield_{20962D9D-D7B9-4AEE-B72B-5C9A45A1B402}" = Call of Duty(R) - World at War(TM) 1.6 Patch
"InstallShield_{2BF0AE92-C3BC-4112-9066-1546342B1FAE}" = Call of Duty(R) - World at War(TM) 1.2 Patch
"InstallShield_{3521F7CF-9343-4C1F-AE5E-0D2A57A18D2B}" = Call of Duty(R) - World at War(TM) 1.5 Patch
"InstallShield_{A0F584A7-B0C2-4D90-9580-15456B9CF63C}" = MapSource - Trip & Waypoint Manager v2
"InstallShield_{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"InstallShield_{AFAE2B15-89A0-4215-A030-F7B5B478886B}" = Call of Duty(R) - World at War(TM) 1.1 Patch
"InstallShield_{CC862A04-B2B0-4A79-ADD2-4B76D6CF4DCD}" = Call of Duty(R) - World at War(TM) 1.4 Patch
"InstallShield_{D80A6A73-E58A-4673-AFF5-F12D7110661F}" = Call of Duty(R) - World at War(TM)
"InstallShield_{E237FA24-CFB3-431F-B356-DF8FB116DE4B}" = Call of Duty(R) - World at War(TM) 1.7 Patch
"InstallShield_{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"IrfanView" = IrfanView (remove only)
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.1.0 (Basic)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Security Client" = Microsoft Security Essentials
"MIKSOFT Mobile AMR converter_is1" = MIKSOFT Mobile AMR converter
"Mount&Blade" = Mount&Blade
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"PunkBusterSvc" = PunkBuster Services
"Revo Uninstaller" = Revo Uninstaller 1.88
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"ShotOnline" = ShotOnline
"Spesoft Audio Converter_is1" = Spesoft Audio Converter 1.80
"Spoiler Sync_is1" = Spoiler Sync
"ST5UNST #1" = StegaNote
"ST5UNST #2" = ENIGMA
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"Ulead GIF Animator Lite Edition 1.0" = Ulead GIF Animator Lite Edition 1.0
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VideoLAN VLC media player 0.8.6f
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEP" = XPS Essentials Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"XRECODE_is1" = XRECODE
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.0.9.1
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 04.10.2009 14:13:19 | Computer Name = abc | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung cocmainwin32.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul cocmainwin32.exe, Version 0.0.0.0, Fehleradresse 0x0006458d.
 
Error - 08.10.2009 12:13:11 | Computer Name = abc | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung CoDWaWmp.exe, Version 1.5.1220.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 25.10.2009 14:42:01 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 29.10.2009 09:12:37 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 30.10.2009 15:22:13 | Computer Name = abc | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3462, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 10.11.2009 08:53:44 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 16.11.2009 04:31:02 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 17.11.2009 08:59:22 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 28.11.2009 07:09:55 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 28.11.2009 07:11:59 | Computer Name = abc | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ System Events ]
Error - 18.12.2010 14:46:48 | Computer Name = abc | Source = Windows Update Agent | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x80070003 fehlgeschlagen: Sicherheitsupdate für Windows XP (KB2423089)
 
Error - 22.12.2010 03:56:21 | Computer Name = abc | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
 (0x80072751)
 
Error - 22.12.2010 03:56:21 | Computer Name = abc | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 22.12.2010 06:09:12 | Computer Name = abc | Source = Service Control Manager | ID = 7034
Description = Dienst "FsUsbExService" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 22.12.2010 15:01:45 | Computer Name = abc | Source = Service Control Manager | ID = 7034
Description = Dienst "FsUsbExService" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 23.12.2010 08:40:14 | Computer Name = abc | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.101 für die Netzwerkkarte mit der Netzwerkadresse
 001A4D5C72D5 wurde durch  den DHCP-Server 0.0.0.0 abgelehnt (der DHCP-Server hat
eine DHCPNACK-Meldung gesendet).
 
Error - 03.01.2011 13:37:44 | Computer Name = abc | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 05.01.2011 05:50:42 | Computer Name = abc | Source = Service Control Manager | ID = 7034
Description = Dienst "FsUsbExService" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 18.01.2011 13:19:42 | Computer Name = abc | Source = Service Control Manager | ID = 7034
Description = Dienst "FsUsbExService" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 19.01.2011 05:03:03 | Computer Name = abc | Source = System Error | ID = 1003
Description = Fehlercode 00000019, 1. Parameter 00000020, 2. Parameter 89eb92e8,
 3. Parameter 89eb9b10, 4. Parameter 1b050013.
 
 
< End of report >
--- --- ---

chriss3 21.01.2011 10:47
hier sind noch die prozesse liste von ccleaner und der bootkit remover log

Code:
Ja        HKCU:Run        SpybotSD TeaTimer        d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
Ja        HKCU:Run        ctfmon.exe        C:\WINDOWS\system32\ctfmon.exe
Ja        HKLM:Run        JMB36X IDE Setup        C:\WINDOWS\RaidTool\xInsIDE.exe
Ja        HKLM:Run        36X Raid Configurer        C:\WINDOWS\system32\xRaidSetup.exe boot
Ja        HKLM:Run        Launch LCDMon        "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
Ja        HKLM:Run        RTHDCPL        RTHDCPL.EXE
Ja        HKLM:Run        avgnt        "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
Ja        HKLM:Run        MSC        "C:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
Ja        HKLM:Run        NvCplDaemon        RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Nein        HKLM:Run        Launch LGDCore        "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
Code:
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

    Size  Device Name          MBR Status
 --------------------------------------------
  298 GB  \\.\PhysicalDrive0  Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

ach so: ich hatte noch ms security essentials installiert (zusätzlich zu antivir) weil ich hoffte, der findet was...

chriss3 21.01.2011 21:06
hmmm:pfeiff:

cosinus 22.01.2011 13:50
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

chriss3 22.01.2011 19:04
Hi Arne,

danke, dass Du Dich meinem Problem angenommen hast.
Die weiteren Malwarebytes Logs poste ich rücklaufend bis zum 30.11.2010. Der am 3.1.2011 hatte einen Fund mit comsgfat.dll. Es gibt dann noch ältere, aber alle ohne Fund.

Gruß
Chriss

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5544

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.01.2011 13:26:05
mbam-log-2011-01-18 (13-26-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|Z:\|)
Durchsuchte Objekte: 374751
Laufzeit: 54 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5447

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.01.2011 18:35:30
mbam-log-2011-01-03 (18-35-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 371638
Laufzeit: 55 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\comsgfat.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\comsgfat.dll (Trojan.Agent) -> Delete on reboot.
Code:
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5354

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19.12.2010 10:54:08
mbam-log-2010-12-19 (10-54-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 365575
Laufzeit: 53 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5214

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.11.2010 11:31:13
mbam-log-2010-11-30 (11-31-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 360476
Laufzeit: 52 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 24.01.2011 09:21
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.04.03 22:41:28 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009.08.25 23:10:45 | 000,000,000 | RHSD | M] - E:\autorun.inf -- [ NTFS ]
O36 - AppCertDlls: bootINST - (C:\WINDOWS\system32\comsgfat.dll) -  File not found
@Alternate Data Stream - 146 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5F64C164
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

chriss3 24.01.2011 09:45
Rechner wurde neu gestartet. Hier das otl logfile.

Code:
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File  not found.
File  not found.
File  not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5F64C164 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Config.Msi
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ***
->Temp folder emptied: 25764 bytes
->Temporary Internet Files folder emptied: 49152 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 42906093 bytes
->Flash cache emptied: 9161 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 42816 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 60199 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 41,00 mb
 
 
OTL by OldTimer - Version 3.2.20.2 log created on 01242011_093248

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\hlktmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...

cosinus 24.01.2011 09:53
Zitat:
C:\Dokumente und Einstellungen\***\Desktop\CoFi.exe
Hast du echt schon combofix ausgeführt? :eek:

chriss3 24.01.2011 10:02
Ja, hatte es versucht, das Programm ist aber dabei abgestürzt...

cosinus 24.01.2011 10:13
Probier es so, cofi.exe neu runterladen!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

chriss3 24.01.2011 10:52
So, hier der Combofix Log:

[code]
Combofix Logfile:
Code:
ComboFix 11-01-23.06 - *** 24.01.2011  10:39:07.2.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3582.3047 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofifi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Anwendungsdaten\EurekaLog
c:\dokumente und einstellungen\***\Anwendungsdaten\EurekaLog\EurekaLog.ini
c:\windows\system\Color
c:\windows\system32\midas.dll
c:\windows\system32\ui
c:\windows\system32\ui\BANNER\LOADINGEVENT1.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT2.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT3.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT4.SOR
c:\windows\system32\ui\BANNER\LOADINGEVENT5.SOR
c:\windows\system32\ui\BANNER\LOADINGIMGOPT.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER1.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER2.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER3.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER4.SOR
c:\windows\system32\ui\BANNER\NOTICE_BANNER5.SOR

.
(((((((((((((((((((((((  Dateien erstellt von 2010-12-24 bis 2011-01-24  ))))))))))))))))))))))))))))))
.

2011-01-24 08:45 . 2011-01-24 08:45        28752        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys
2011-01-24 08:45 . 2010-11-09 19:33        6273872        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-01-24 08:45 . 2011-01-13 09:41        5890896        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\mpengine.dll
2011-01-24 08:32 . 2011-01-24 08:32        --------        d-----w-        C:\_OTL
2011-01-19 14:22 . 2011-01-19 14:22        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\PCHealth
2011-01-19 12:56 . 2011-01-19 17:06        --------        d--h--w-        c:\windows\system32\GroupPolicy
2011-01-19 07:31 . 2009-08-06 18:23        274288        ----a-w-        c:\windows\system32\mucltui.dll
2011-01-19 07:31 . 2009-08-06 18:23        215920        ----a-w-        c:\windows\system32\muweb.dll
2011-01-18 20:02 . 2006-11-01 12:06        162616        ----a-w-        C:\RegDelNull.exe
2011-01-18 17:06 . 2011-01-18 17:06        16856        ----a-w-        c:\programme\Mozilla Firefox\plugin-container.exe
2011-01-18 17:06 . 2011-01-18 17:06        719832        ----a-w-        c:\programme\Mozilla Firefox\mozcpp19.dll
2011-01-18 14:07 . 2010-10-19 20:51        222080        ------w-        c:\windows\system32\MpSigStub.exe
2011-01-18 14:04 . 2011-01-18 14:04        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\PCHealth
2011-01-18 14:04 . 2011-01-19 17:06        --------        d-----w-        c:\programme\Microsoft Security Client
2011-01-05 11:15 . 2011-01-05 11:15        --------        d-----w-        c:\windows\system32\wbem\Repository

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-22 07:57 . 2009-08-26 08:22        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-12-20 17:09 . 2010-03-22 12:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-03-22 12:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-11-24 07:15 . 2009-08-26 08:22        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2008-04-03 21:39        86016        ----a-w-        c:\windows\system32\isign32.dll
2010-11-09 14:51 . 2004-08-04 12:00        249856        ----a-w-        c:\windows\system32\odbc32.dll
2010-11-06 00:21 . 2004-08-04 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-04 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-04 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2004-08-04 12:00        385024        ----a-w-        c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-04 12:00        40960        ----a-w-        c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2004-08-04 12:00        290048        ----a-w-        c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2004-08-04 12:00        1853440        ----a-w-        c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-08-29 1966080]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-12-13 2051096]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LGDCore]
2007-12-13 15:57        2095640        ----a-w-        c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Programme\\tswebeditor\\tswebeditor.exe"=
"d:\\Programme\\Azureus\\Azureus.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Programme\\Foxit Software\\PDF Editor\\PDFEdit.exe"=
"d:\\Programme\\EA Games\\Mirror's Edge\\Binaries\\MirrorsEdge.exe"=
"d:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"d:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"d:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.04.2008 11:23 717296]
R1 MpKsl16ef787e;MpKsl16ef787e;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys [24.01.2011 09:45 28752]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.08.2009 09:22 135336]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [25.12.2009 12:35 36608]
S3 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [25.12.2009 12:35 233472]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\66.tmp --> c:\windows\system32\66.tmp [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Inhalt des "geplante Tasks" Ordners

2011-01-24 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Microsoft Security Client\Antimalware\MpCmdRun.exe [2010-11-11 11:26]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ttt.de/forum/index.php?page=Index
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1ocv3mwk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.n-tv.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-24 10:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\66.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:0b,5d,a1,63,9b,b5,1a,50,8d,49,7d,bc,33,23,aa,97,30,60,90,61,aa,3e,e3,
  dc,d8,a0,33,50,24,bb,8c,77,b2,3f,a1,c1,91,8c,55,9d,59,76,1a,2e,11,14,f5,40,\
"??"=hex:21,d1,f4,23,40,9e,54,eb,6e,bf,2c,f9,c3,83,da,43

[HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:23,0e,f2,eb,85,bb,10,ac,95,72,40,14,36,da,5c,28,dc,a7,d8,2b,88,
  af,b5,8a,0a,19,58,fa,c5,14,ad,e9,66,40,d9,6a,0c,43,9b,a5,4d,81,a8,e0,ee,c9,\
"rkeysecu"=hex:56,1b,63,f5,6c,2f,5e,9d,eb,8f,e6,4a,54,48,26,8d
.
Zeit der Fertigstellung: 2011-01-24  10:42:58
ComboFix-quarantined-files.txt  2011-01-24 09:42

Vor Suchlauf: 12 Verzeichnis(se), 67.063.992.320 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 67.017.211.904 Bytes frei

- - End Of File - - 82F5B6D39E0E5CDD3CFFBEEFEF9553CA
--- --- ---

cosinus 24.01.2011 11:33
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

chriss3 24.01.2011 14:16
Hi Arne,
vor allem gmer hat ewig gedauert... hier nun aber die erbetenen Logs:

gmer

[code]
GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-24 13:57:06
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HD321KJ rev.CP100-12
Running: g9zprwvy.exe; Driver: C:\DOKUME~1\***~1\LOKALE~1\Temp\ugroipog.sys


---- System - GMER 1.0.15 ----

SSDT                                                                                                                                  B87A13FE                                                                                                                                                              ZwCreateKey
SSDT                                                                                                                                  B87A13F4                                                                                                                                                              ZwCreateThread
SSDT                                                                                                                                  B87A1403                                                                                                                                                              ZwDeleteKey
SSDT                                                                                                                                  B87A140D                                                                                                                                                              ZwDeleteValueKey
SSDT                                                                                                                                  spur.sys                                                                                                                                                              ZwEnumerateKey [0xB7EC6CA2]
SSDT                                                                                                                                  spur.sys                                                                                                                                                              ZwEnumerateValueKey [0xB7EC7030]
SSDT                                                                                                                                  B87A1412                                                                                                                                                              ZwLoadKey
SSDT                                                                                                                                  spur.sys                                                                                                                                                              ZwOpenKey [0xB7EA80C0]
SSDT                                                                                                                                  B87A13E0                                                                                                                                                              ZwOpenProcess
SSDT                                                                                                                                  B87A13E5                                                                                                                                                              ZwOpenThread
SSDT                                                                                                                                  spur.sys                                                                                                                                                              ZwQueryKey [0xB7EC7108]
SSDT                                                                                                                                  spur.sys                                                                                                                                                              ZwQueryValueKey [0xB7EC6F88]
SSDT                                                                                                                                  B87A141C                                                                                                                                                              ZwReplaceKey
SSDT                                                                                                                                  B87A1417                                                                                                                                                              ZwRestoreKey
SSDT                                                                                                                                  B87A1408                                                                                                                                                              ZwSetValueKey

INT 0x06                                                                                                                              \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)                                                      B41DA16D
INT 0x0E                                                                                                                              \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)                                                      B41D9FC2
INT 0x62                                                                                                                              ?                                                                                                                                                                    8B13BBF8
INT 0x63                                                                                                                              ?                                                                                                                                                                    8ABC3BF8
INT 0x63                                                                                                                              ?                                                                                                                                                                    8ABC3BF8
INT 0x63                                                                                                                              ?                                                                                                                                                                    8ABC3BF8
INT 0x73                                                                                                                              ?                                                                                                                                                                    8B13BBF8
INT 0x73                                                                                                                              ?                                                                                                                                                                    8B13BBF8
INT 0x73                                                                                                                              ?                                                                                                                                                                    8B0E0BF8
INT 0x73                                                                                                                              ?                                                                                                                                                                    8ABC3BF8
INT 0x73                                                                                                                              ?                                                                                                                                                                    8B13BBF8
INT 0x82                                                                                                                              ?                                                                                                                                                                    8B13BBF8
INT 0x94                                                                                                                              ?                                                                                                                                                                    8ABC3BF8
INT 0xB4                                                                                                                              ?                                                                                                                                                                    8ABC3BF8

Code                                                                                                                                  \??\C:\DOKUME~1\***~1\LOKALE~1\Temp\catchme.sys                                                                                                                    pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?                                                                                                                                    spur.sys                                                                                                                                                              Das System kann die angegebene Datei nicht finden. !
.text                                                                                                                                C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                                                              section is writeable [0xB72A2380, 0x566445, 0xE8000020]
.text                                                                                                                                USBPORT.SYS!DllUnload                                                                                                                                                B72828AC 5 Bytes  JMP 8ABC31D8
.text                                                                                                                                a4ghtcuf.SYS                                                                                                                                                          B7159384 1 Byte  [20]
.text                                                                                                                                a4ghtcuf.SYS                                                                                                                                                          B7159384 37 Bytes  [20, 00, 00, 68, 00, 00, 00, ...]
.text                                                                                                                                a4ghtcuf.SYS                                                                                                                                                          B71593AA 24 Bytes  [00, 00, 20, 00, 00, E0, 00, ...]
.text                                                                                                                                a4ghtcuf.SYS                                                                                                                                                          B71593C4 3 Bytes  [00, 00, 00]
.text                                                                                                                                a4ghtcuf.SYS                                                                                                                                                          B71593C9 1 Byte  [00]
.text                                                                                                                                ...                                                                                                                                                                 
?                                                                                                                                    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys  Das System kann die angegebene Datei nicht finden. !
.text                                                                                                                                C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                                                                                section is writeable [0xB3D3A300, 0x3B6D8, 0xE8000020]
.text                                                                                                                                C:\WINDOWS\system32\drivers\hardlock.sys                                                                                                                              section is writeable [0xB3C90400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB3D34620]  C:\WINDOWS\system32\drivers\hardlock.sys                                                                                                                              entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB3D34620]
.protectÿÿÿÿhardlockunknown last code section [0xB3D34400, 0x5126, 0xE0000020]                                                        C:\WINDOWS\system32\drivers\hardlock.sys                                                                                                                              unknown last code section [0xB3D34400, 0x5126, 0xE0000020]
.text                                                                                                                                C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                                                                                section is writeable [0xB8408300, 0x1BEE, 0xE8000020]
?                                                                                                                                    C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                                                                            Das System kann die angegebene Datei nicht finden. !
?                                                                                                                                    C:\DOKUME~1\***~1\LOKALE~1\Temp\catchme.sys                                                                                                                        Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT                                                                                                                                  atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                                                                    [B7EA9040] spur.sys
IAT                                                                                                                                  atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                                                                            [B7EA913C] spur.sys
IAT                                                                                                                                  atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                                                                  [B7EA90BE] spur.sys
IAT                                                                                                                                  atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                                                                          [B7EA97FC] spur.sys
IAT                                                                                                                                  atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                                                                  [B7EA96D2] spur.sys
IAT                                                                                                                                  \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                                                                    [B7EB9048] spur.sys
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KfAcquireSpinLock]                                                                                                  000000AD
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!READ_PORT_UCHAR]                                                                                                    000000D4
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KeGetCurrentIrql]                                                                                                  000000A2
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KfRaiseIrql]                                                                                                        000000AF
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KfLowerIrql]                                                                                                        0000009C
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!HalGetInterruptVector]                                                                                              000000A4
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!HalTranslateBusAddress]                                                                                            00000072
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KeStallExecutionProcessor]                                                                                          000000C0
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!KfReleaseSpinLock]                                                                                                  000000B7
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                                            000000FD
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!READ_PORT_USHORT]                                                                                                  00000093
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                                          00000026
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                                                                  00000036
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[WMILIB.SYS!WmiSystemControl]                                                                                                000000F7
IAT                                                                                                                                  \SystemRoot\System32\Drivers\a4ghtcuf.SYS[WMILIB.SYS!WmiCompleteRequest]                                                                                              000000CC

---- Devices - GMER 1.0.15 ----

Device                                                                                                                                                                                                                                                                                                      8B0DC1F8
Device                                                                                                                                                                                                                                                                                                      Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device                                                                                                                                                                                                                                                                                                      8AE3D1F8
Device                                                                                                                                                                                                                                                                                                      Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)
Device                                                                                                                                \Driver\PCI_PNP5510 \Device\00000050                                                                                                                                  spur.sys
Device                                                                                                                                \Driver\usbuhci \Device\USBPDO-0                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\usbuhci \Device\USBPDO-1                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\dmio \Device\DmControl\DmIoDaemon                                                                                                                            8B0DE1F8
Device                                                                                                                                \Driver\dmio \Device\DmControl\DmConfig                                                                                                                              8B0DE1F8
Device                                                                                                                                \Driver\dmio \Device\DmControl\DmPnP                                                                                                                                  8B0DE1F8
Device                                                                                                                                \Driver\dmio \Device\DmControl\DmInfo                                                                                                                                8B0DE1F8
Device                                                                                                                                \Driver\usbuhci \Device\USBPDO-2                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\usbehci \Device\USBPDO-3                                                                                                                                      8AB921F8
Device                                                                                                                                \Driver\usbuhci \Device\USBPDO-4                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\sptd \Device\1458441760                                                                                                                                      spur.sys
Device                                                                                                                                \Driver\usbuhci \Device\USBPDO-5                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\usbuhci \Device\USBPDO-6                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\Ftdisk \Device\HarddiskVolume1                                                                                                                                8B13C1F8
Device                                                                                                                                \Driver\usbehci \Device\USBPDO-7                                                                                                                                      8AB921F8
Device                                                                                                                                \Driver\Ftdisk \Device\HarddiskVolume2                                                                                                                                8B13C1F8
Device                                                                                                                                \Driver\Cdrom \Device\CdRom0                                                                                                                                          8AC17500
Device                                                                                                                                \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                                                                          [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device                                                                                                                                \Driver\atapi \Device\Ide\IdePort0                                                                                                                                    [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device                                                                                                                                \Driver\atapi \Device\Ide\IdePort1                                                                                                                                    [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device                                                                                                                                \Driver\atapi \Device\Ide\IdePort2                                                                                                                                    [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device                                                                                                                                \Driver\atapi \Device\Ide\IdePort3                                                                                                                                    [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device                                                                                                                                \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-1b                                                                                                                          [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device                                                                                                                                \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-13                                                                                                                          [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device                                                                                                                                \Driver\Ftdisk \Device\HarddiskVolume3                                                                                                                                8B13C1F8
Device                                                                                                                                \Driver\Cdrom \Device\CdRom1                                                                                                                                          8AC17500
Device                                                                                                                                \Driver\NetBT \Device\NetBt_Wins_Export                                                                                                                              8AC0B500
Device                                                                                                                                \Driver\NetBT \Device\NetbiosSmb                                                                                                                                      8AC0B500
Device                                                                                                                                \Driver\usbuhci \Device\USBFDO-0                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\usbuhci \Device\USBFDO-1                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\usbuhci \Device\USBFDO-2                                                                                                                                      8ABB41F8
Device                                                                                                                                \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                                                                    8ABFC500
Device                                                                                                                                                                                                                                                                                                      8ABFC500
Device                                                                                                                                \Driver\usbehci \Device\USBFDO-3                                                                                                                                      8AB921F8
Device                                                                                                                                \Driver\usbuhci \Device\USBFDO-4                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\Ftdisk \Device\FtControl                                                                                                                                      8B13C1F8
Device                                                                                                                                \Driver\usbuhci \Device\USBFDO-5                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\usbuhci \Device\USBFDO-6                                                                                                                                      8ABB41F8
Device                                                                                                                                \Driver\usbehci \Device\USBFDO-7                                                                                                                                      8AB921F8
Device                                                                                                                                \Driver\a4ghtcuf \Device\Scsi\a4ghtcuf1                                                                                                                              8AC15500
Device                                                                                                                                \Driver\a4ghtcuf \Device\Scsi\a4ghtcuf1Port5Path0Target0Lun0                                                                                                          8AC15500
Device                                                                                                                                \Driver\JRAID \Device\Scsi\JRAID1                                                                                                                                    8B0DD1F8
Device                                                                                                                                \FileSystem\Cdfs \Cdfs                                                                                                                                                8AD6E1F8

---- Registry - GMER 1.0.15 ----

Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                                                                    771343423
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                                                                    285507792
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                                                                    1
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                                                     
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                                                  d:\Programme\DAEMON Tools Lite\
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                                                  0
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                                                0x8C 0x8C 0x78 0x00 ...
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                                           
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                                          0x20 0x01 0x00 0x00 ...
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                                      0x47 0x30 0x52 0x77 ...
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                                                     
Reg                                                                                                                                  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                                                0xA7 0xBB 0x17 0x14 ...
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                                                 
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                                                      d:\Programme\DAEMON Tools Lite\
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                                                      0
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                                                    0x8C 0x8C 0x78 0x00 ...
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                                                       
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                                              0x20 0x01 0x00 0x00 ...
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                                          0x47 0x30 0x52 0x77 ...
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                                                 
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                                                    0xB7 0x48 0x04 0xE9 ...
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                                                 
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                                                      d:\Programme\DAEMON Tools Lite\
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                                                      0
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                                                    0x8C 0x8C 0x78 0x00 ...
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                                                       
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                                              0x20 0x01 0x00 0x00 ...
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                                          0x47 0x30 0x52 0x77 ...
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                                                 
Reg                                                                                                                                  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                                                    0xA7 0xBB 0x17 0x14 ...

---- EOF - GMER 1.0.15 ----
--- --- ---


osam

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 14:04:43 on 24.01.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"MP Scheduled Scan.job" - "Microsoft Corporation" - C:\Programme\Microsoft Security Client\Antimalware\MpCmdRun.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINDOWS\system32\DivXControlPanelApplet.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"lgLcdCpl" - "Logitech Inc." - C:\Programme\Logitech\GamePanel Software\LCD Manager\LgLcdCpl.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a4ghtcuf" (a4ghtcuf) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\a4ghtcuf.sys  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\**~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"EagleNT" (EagleNT) - ? - C:\DOKUME~1\**~1\LOKALE~1\Temp\EagleNT.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.sys
"FsUsbExDisk" (FsUsbExDisk) - ? - C:\WINDOWS\system32\FsUsbExDisk.SYS  (File found, but it contains no detailed information)
"gdrv" (gdrv) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\gdrv.sys
"giveio" (giveio) - ? - C:\WINDOWS\system32\giveio.sys  (File found, but it contains no detailed information)
"grmnusb" (grmnusb) - "GARMIN Corp." - C:\WINDOWS\System32\drivers\grmnusb.sys
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\WINDOWS\System32\DRIVERS\hamachi.sys
"Haspnt" (Haspnt) - "Aladdin Knowledge Systems" - C:\WINDOWS\system32\drivers\Haspnt.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"mbr" (mbr) - ? - C:\cofifi\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"MEMSWEEP2" (MEMSWEEP2) - ? - C:\WINDOWS\system32\66.tmp  (File not found)
"MpKsl16ef787e" (MpKsl16ef787e) - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys  (File not found)
"MpKslee22f22c" (MpKslee22f22c) - "Microsoft Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{1A7AF54D-EDBF-4351-B406-BB4DF7D2CDDF}\MpKslee22f22c.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PnkBstrK" (PnkBstrK) - ? - C:\WINDOWS\system32\drivers\PnkBstrK.sys  (File found, but it contains no detailed information)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"ugroipog" (ugroipog) - ? - C:\DOKUME~1\**~1\LOKALE~1\Temp\ugroipog.sys  (Hidden registry entry, rootkit activity | File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - d:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{09A47860-11B0-4DA5-AFA5-26D86198A780} "EPP" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\shellext.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) /
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"36X Raid Configurer" - "Gigabyte Technology Corp." - C:\WINDOWS\system32\xRaidSetup.exe boot
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"JMB36X IDE Setup" - ? - C:\WINDOWS\RaidTool\xInsIDE.exe  (File found, but it contains no detailed information)
"Launch LCDMon" - "Logitech Inc." - "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
"MSC" - "Microsoft Corporation" - "C:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"FsUsbExService" (FsUsbExService) - "Teruten" - C:\WINDOWS\system32\FsUsbExService.Exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Microsoft Antimalware Service" (MsMpSvc) - "Microsoft Corporation" - C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
"nProtect GameGuard Service" (npggsvc) - "INCA Internet Co., Ltd." - C:\WINDOWS\system32\GameMon.des
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"PnkBstrB" (PnkBstrB) - ? - C:\WINDOWS\system32\PnkBstrB.exe  (File found, but it contains no detailed information)
"ProtexisLicensing" (ProtexisLicensing) - ? - C:\WINDOWS\system32\PSIService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
mbr

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Professional
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x0200005c

Kernel Drivers (total 133):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xB85A8000 \WINDOWS\system32\KDCOM.DLL
  0xB84B8000 \WINDOWS\system32\BOOTVID.dll
  0xB7EA7000 spur.sys
  0xB85AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xB7E8F000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
  0xB7E60000 ACPI.sys
  0xB7E4F000 pci.sys
  0xB80A8000 isapnp.sys
  0xB8670000 pciide.sys
  0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xB80B8000 MountMgr.sys
  0xB7E30000 ftdisk.sys
  0xB85AC000 dmload.sys
  0xB7E0A000 dmio.sys
  0xB8330000 PartMgr.sys
  0xB80C8000 VolSnap.sys
  0xB7DF2000 atapi.sys
  0xB80D8000 jraid.sys
  0xB80E8000 disk.sys
  0xB80F8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB7DD2000 fltmgr.sys
  0xB7DC0000 sr.sys
  0xB8108000 PxHelp20.sys
  0xB7DA9000 KSecDD.sys
  0xB7D1C000 Ntfs.sys
  0xB7CEF000 NDIS.sys
  0xB8118000 ohci1394.sys
  0xB8128000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xB7CD5000 Mup.sys
  0xB81E8000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xB82D8000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB72A2000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB728E000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB84A0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB726A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xB84A8000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB7242000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB82E8000 \SystemRoot\system32\DRIVERS\serial.sys
  0xB7CB1000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB71FA000 \SystemRoot\system32\DRIVERS\parport.sys
  0xB82F8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xB84B0000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB8308000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xB71E1000 \SystemRoot\System32\Drivers\AnyDVD.sys
  0xB8318000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xB8158000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB71BE000 \SystemRoot\system32\DRIVERS\ks.sys
  0xB7159000 \SystemRoot\System32\Drivers\a4ghtcuf.SYS
  0xB872D000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xB8178000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xB7C71000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB7142000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xB8188000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xB8198000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xB83C8000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB7091000 \SystemRoot\system32\DRIVERS\psched.sys
  0xB81A8000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xB83D0000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xB83D8000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB7061000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xB81B8000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xB83E0000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xB85FA000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB6FDB000 \SystemRoot\system32\DRIVERS\update.sys
  0xB856C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB81C8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB81D8000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xB8604000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB4A14000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xB49F0000 \SystemRoot\system32\drivers\portcls.sys
  0xB81F8000 \SystemRoot\system32\drivers\drmk.sys
  0xB4979000 \SystemRoot\system32\DRIVERS\MpFilter.sys
  0xB8644000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xB8788000 \SystemRoot\System32\Drivers\Null.SYS
  0xB8646000 \SystemRoot\System32\Drivers\Beep.SYS
  0xB8438000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xB8440000 \SystemRoot\System32\drivers\vga.sys
  0xB8648000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xB864A000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xB8448000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xB8450000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB6FBF000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB4946000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB48ED000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB48C5000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB489F000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB8228000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB487D000 \SystemRoot\System32\drivers\afd.sys
  0xB8238000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB8458000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB8248000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xB482A000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB47BA000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xB8468000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys
  0xB8258000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB8470000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
  0xB46F4000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xB864E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xB8490000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xB7C85000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xB8288000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xB7C75000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xB8298000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB46B4000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xB8652000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB49B8000 \SystemRoot\System32\drivers\Dxapi.sys
  0xB8358000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xB874B000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB4387000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB40DA000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB3FFD000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB41A7000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB41D7000 \??\C:\WINDOWS\system32\drivers\Haspnt.sys
  0xB864C000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB3D3A000 \SystemRoot\system32\DRIVERS\atksgt.sys
  0xB3C90000 \??\C:\WINDOWS\system32\drivers\hardlock.sys
  0xB3C6C000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xB8408000 \SystemRoot\system32\DRIVERS\lirsgt.sys
  0xB3A54000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB2F59000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB8610000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
  0xB8420000 \??\C:\DOKUME~1\**~1\LOKALE~1\Temp\catchme.sys
  0xB1422000 \??\C:\DOKUME~1\**~1\LOKALE~1\Temp\ugroipog.sys
  0xB13F7000 \SystemRoot\system32\drivers\kmixer.sys
  0xB8428000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{4934B2D7-7D4D-49CB-ABE0-4096F35EAC62}\MpKsl52ed64f4.sys
  0xB13C3000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 35):
      0 System Idle Process
      4 System
    756 C:\WINDOWS\system32\smss.exe
    820 csrss.exe
    848 C:\WINDOWS\system32\winlogon.exe
    892 C:\WINDOWS\system32\services.exe
    904 C:\WINDOWS\system32\lsass.exe
    1116 C:\WINDOWS\system32\nvsvc32.exe
    1160 C:\WINDOWS\system32\svchost.exe
    1228 svchost.exe
    1360 C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
    1396 C:\WINDOWS\system32\svchost.exe
    1484 svchost.exe
    1600 svchost.exe
    1648 C:\WINDOWS\system32\spoolsv.exe
    1724 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1808 svchost.exe
    532 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    612 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    660 C:\WINDOWS\system32\PnkBstrA.exe
    672 C:\WINDOWS\system32\PnkBstrB.exe
    708 C:\WINDOWS\system32\PSIService.exe
    828 C:\WINDOWS\system32\svchost.exe
    2256 alg.exe
    2420 C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
    2436 C:\WINDOWS\RTHDCPL.exe
    2448 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2456 C:\Programme\Microsoft Security Client\msseces.exe
    2484 C:\WINDOWS\system32\ctfmon.exe
    2604 C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
    3776 C:\WINDOWS\explorer.exe
    2284 C:\WINDOWS\system32\wuauclt.exe
    3116 C:\Programme\Mozilla Firefox\firefox.exe
    3304 wmiprvse.exe
    3732 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000018`69e61600  (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD321KJ, Rev: CP100-12
PhysicalDrive1 Model Number: SAMSUNGHD321KJ, Rev: CP100-12

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
    298 GB  \\.\PhysicalDrive1  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

...kann erst heute abend wieder hier vorbeischauen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:41 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131