Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Security Suite entfernen - ComboFix-Auswertung (https://www.trojaner-board.de/96009-security-suite-entfernen-combofix-auswertung.html)

uka 25.02.2011 04:34
Security Suite entfernen - ComboFix-Auswertung
 
Liebe Leute, als erstes vielen Dank für die hervoragende Arbeit im Forum. Ich beobachte das Geschehen schon eine lange Zeit und habe schon so manchen Tipp mitgenommen.
Seit langem hat es mich mal wieder schwerer erwischt:
Ich hatte das Problem wie hier beschrieben:
http://www.trojaner-board.de/89370-s...entfernen.html
Dann bin ich auch nach Anleitung vorgegangen. Es hat nix geholfen. Alle empfohlenen Programme und Prozeduren haben nichts erreicht (Malwarebyte's Anti Malware, OTH, TDSS cleaner, rkill, SpywareDoctor, SUPERAntiSpyware u.s.w.). Irgendwann nach einer gefühlten Ewigkeit (ca. 7 Stunden) bin ich auf ein Posting gestoßen, was dann quasi meine letzte Hoffnung war: hxxp://www.hijackthis-forum.de/archiv/40717-your-system-infected-virus-hilfe.html
Da steht nun was von combofix bei bleepingcomputer.com. Das habe ich nach Anleitung auf eigene Faust durchgezogen.
Da mein Rechner, wie gesagt, stark verseucht war und ich keine weiteren Risiken eingehen wollte und im normalen Profil sowieso fast nichts mehr ging, habe ich alles vom abgesicherten Modus aus angeschoben. Jetzt sieht es so aus, als wäre alles wieder ok. Deshalb hier das log-file:
BEGINN##################################Combofix Logfile:
Code:
ComboFix 11-02-24.02 - Mustermann 25.02.2011 2:49.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.503.377 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mustermann\Desktop\ComboFix.exe
AV: Sophos Anti-Virus *Enabled/Updated* {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
.
 
((((((((((((((((((((((( Dateien erstellt von 2011-01-25 bis 2011-02-25 ))))))))))))))))))))))))))))))
.
 
2011-02-25 01:11 . 2009-11-10 09:28    149456    ----a-w-    c:\windows\SGDetectionTool.dll
2011-02-25 01:11 . 2009-11-10 09:26    767952    ----a-w-    c:\windows\BDTSupport.dll
2011-02-25 01:11 . 2009-11-10 09:28    165840    ----a-w-    c:\windows\PCTBDRes.dll
2011-02-25 01:11 . 2009-11-10 09:28    1640400    ----a-w-    c:\windows\PCTBDCore.dll
2011-02-25 01:10 . 2010-02-05 08:17    233136    ----a-w-    c:\windows\system32\drivers\pctgntdi.sys
2011-02-25 01:10 . 2009-10-06 15:31    87784    ----a-w-    c:\windows\system32\drivers\PCTAppEvent.sys
2011-02-25 01:10 . 2009-09-23 15:10    207280    ----a-w-    c:\windows\system32\drivers\PCTCore.sys
2011-02-25 01:09 . 2010-02-05 08:25    70408    ----a-w-    c:\windows\system32\drivers\pctplsg.sys
2011-02-25 01:09 . 2011-02-25 01:12    --------    d-----w-    c:\programme\Gemeinsame Dateien\PC Tools
2011-02-25 01:09 . 2011-02-25 01:09    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2011-02-25 01:09 . 2011-02-25 01:09    --------    d-----w-    c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\PC Tools
2011-02-25 01:09 . 2011-02-25 02:04    --------    d---a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-02-25 00:18 . 2011-02-25 00:18    --------    d-----w-    c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com
2011-02-25 00:18 . 2011-02-25 00:18    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-02-24 20:14 . 2011-02-25 00:53    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
2011-02-04 09:23 . 2011-02-04 09:13    131824    ----a-w-    c:\windows\system32\sdccoinstaller.dll
2011-02-04 09:22 . 2011-02-04 09:22    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos Web Intelligence
2011-02-04 09:21 . 2011-02-04 09:21    --------    d-----w-    c:\programme\Gemeinsame Dateien\Cisco Systems
2011-02-04 09:20 . 2011-02-04 09:13    28912    ----a-w-    c:\windows\system32\SophosBootTasks.exe
2011-02-04 09:13 . 2011-02-04 09:13    23928    ----a-w-    c:\windows\system32\drivers\sdcfilter.sys
2011-01-30 13:57 . 2011-01-30 13:57    103864    ----a-w-    c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-01-30 13:57 . 2011-01-30 13:57    103864    ----a-w-    c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
 
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-04 09:13 . 2006-11-29 10:37    24064    ----a-w-    c:\windows\system32\drivers\savonaccessfilter.sys
2011-02-04 09:13 . 2006-11-29 10:37    153344    ----a-w-    c:\windows\system32\drivers\savonaccesscontrol.sys
2011-01-21 14:44 . 2002-08-29 12:00    440832    ----a-w-    c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2002-08-29 12:00    290048    ----a-w-    c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2002-08-29 12:00    1855104    ----a-w-    c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2002-08-29 12:00    301568    ----a-w-    c:\windows\system32\kerberos.dll
2010-12-20 23:52 . 2002-08-29 12:00    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2002-08-29 12:00    43520    ----a-w-    c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2002-08-29 12:00    1469440    ----a-w-    c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2002-08-29 12:00    737792    ----a-w-    c:\windows\system32\lsasrv.dll
2010-12-20 17:09 . 2010-10-20 07:01    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-10-20 07:01    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-12-20 12:55 . 2006-11-29 09:47    385024    ----a-w-    c:\windows\system32\html.iec
2010-12-09 15:15 . 2002-08-29 12:00    743936    ----a-w-    c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2002-08-29 12:00    2195072    ----a-w-    c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2002-08-29 03:41    2071680    ----a-w-    c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2002-08-29 12:00    33280    ----a-w-    c:\windows\system32\csrsrv.dll
.
 
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"NBJ"="d:\programme_2\Ahead\Nero BackItUp\nbj.exe" [2006-09-15 2048000]
"updateMgr"="d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [2006-03-30 313472]
"SUPERAntiSpyware"="d:\programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-02-18 2423752]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-08-20 118784]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-10-28 198160]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"Acrobat Assistant 7.0"="d:\programme_2\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"QuickTime Task"="d:\programme_2\QuickTime\QTTask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="d:\programme_2\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Sophos AutoUpdate Monitor"="c:\programme\Sophos\AutoUpdate\almon.exe" [2011-02-04 439536]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2010-2-18 25214]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
OKI LPR Utility.lnk - c:\programme\Okidata\OKI LPR Utility\okilpr.exe [2008-1-8 151552]
 
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme_2\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Taskman"=""
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21    548352    ----a-w-    d:\programme_2\SUPERAntiSpyware\SASWINLO.DLL
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@=""
 
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Real\\realplay.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
 
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [25.02.2011 02:10 207280]
R1 SASDIFSV;SASDIFSV;d:\programme_2\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;d:\programme_2\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [29.11.2006 11:37 153344]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [29.11.2006 11:37 24064]
R2 Browser Defender Update Service;Browser Defender Update Service;d:\programme_2\Spyware Doctor\BDT\BDTUpdateService.exe [25.02.2011 02:11 112592]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [04.02.2011 10:13 163056]
R2 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [04.02.2011 10:13 97520]
S3 NDISKIO;NDISKIO;\??\c:\dokume~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys --> c:\dokume~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys [?]
S3 sdcfilter;sdcfilter;c:\windows\system32\drivers\sdcfilter.sys [04.02.2011 10:13 23928]
S4 SophosBootDriver;SophosBootDriver;c:\windows\system32\drivers\SophosBootDriver.sys [02.10.2008 08:38 14976]
.
Inhalt des "geplante Tasks" Ordners
 
2011-02-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
 
2011-02-25 c:\windows\Tasks\User_Feed_Synchronization-{ED772B8A-90FA-4845-B169-034681B6017E}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.tu-clausthal.de/Welcome.php.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
TCP: {2E691B91-6470-4169-97DB-EF382D77A35D} = 139.174.2.5,139.174.2.6
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programme\real\browserrecord\firefox\ext
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
 
BHO-{EA5CA8B6-9B9C-4994-A7A1-947B6C631BE7} - d:\programme_2\RegTweaker\key.dll
HKCU-Run-Getdo - (no file)
HKLM-Run-Corel Reminder - (no file)
AddRemove-ElsterFormular 11.4.1.4323 - h:\roboter\C_Programme\Neue_Programme\uninstall.exe
AddRemove-Teamspeak 2 RC2_is1 - g:\teamspeak2_rc2\unins000.exe
 
 
 
**************************************************************************
 
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-25 03:06
Windows 5.1.2600 Service Pack 3 NTFS
 
Scanne versteckte Prozesse...
 
Scanne versteckte Autostarteinträge...
 
Scanne versteckte Dateien...
 
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
 
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 
- - - - - - - > 'winlogon.exe'(568)
d:\programme_2\SUPERAntiSpyware\SASWINLO.DLL
 
- - - - - - - > 'lsass.exe'(624)
c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
 
- - - - - - - > 'explorer.exe'(2588)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\webcheck.dll
c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\Sophos\AutoUpdate\ALsvc.exe
c:\programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
c:\programme\Logitech\MouseWare\system\em_exec.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-25 03:24:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-02-25 02:24
 
Vor Suchlauf: 496.738.304 Bytes frei
Nach Suchlauf: 987.848.704 Bytes frei
 
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
 
- - End Of File - - AA006116AFD58359B3F0B4E1356A8F08
--- --- ---

ENDE###################################
Ich bitte Euch um Hilfe, das log-file auszuwerten. Kann man entnehmen, dass mein System wieder geheilt ist?
Und noch ein Nachsatz: Ich habe, als die Seuche erstmals auftrat, sofort den Stecker gezogen, um zu verhindern, dass sich noch massig viel selbst installiert. Dabei habe ich auch meine externe Platte abgeklemmt und noch nicht wieder drangehängt. Was sollte ich diesbezüglich tun?

Vielen Dank schonmal im Vorraus.

cosinus 25.02.2011 09:42
Überlesen? => http://www.trojaner-board.de/95176-combofix.html

Was ist mit den anderen Tools? Poste dazu alle Logs die du hast. Gerne auch alle zusammen komprimiert in einer ZIP-Datei.

uka 25.02.2011 10:16
Das habe ich ja erst später gesehen! Unter hxxp://www.hijackthis-forum.de/archiv/40717-your-system-infected-virus-hilfe.html war der letzte Eintrag mit dem Hinweis auf bleepingcomputer und combofix ohne diese Warnung.

Hier noch ein paar logs:
rkill############################################

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 24.02.2011 at 23:06:53.
Operating System: Microsoft Windows XP


Processes terminated by Rkill or while it was running:

C:\WINDOWS\system32\verclsid.exe


Rkill completed on 24.02.2011 at 23:06:59.
#############################################
nochmal rkill#####################################
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 25.02.2011 at 0:21:58.
Operating System: Microsoft Windows XP


Processes terminated by Rkill or while it was running:

D:\Programme_2\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\WINDOWS\system32\verclsid.exe


Rkill completed on 25.02.2011 at 0:22:04.
###############################################
hjt#############################################
Logfile of HijackThis v1.99.1
Scan saved at 23:59:42, on 24.02.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.tu-clausthal.de/Welcome.php.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\programme\real\rpbrowserrecordplugin.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - c:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme_2\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme_2\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme_2\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Sophos AutoUpdate Monitor] c:\Programme\Sophos\AutoUpdate\almon.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "D:\Programme_2\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme_2\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "D:\Programme_2\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [updateMgr] "D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_1_0 -reboot 1
O4 - HKCU\..\Run: [Doblt] C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Adobe\Update\dxwid.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220447215796
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E691B91-6470-4169-97DB-EF382D77A35D}: NameServer = 139.174.2.5,139.174.2.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E691B91-6470-4169-97DB-EF382D77A35D}: NameServer = 139.174.2.5,139.174.2.6
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E691B91-6470-4169-97DB-EF382D77A35D}: NameServer = 139.174.2.5,139.174.2.6
O20 - AppInit_DLLs: c:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Web Intelligence Service (swi_service) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe

##########################################
Norman TDSS Cleaner############################
Norman TDSS Cleaner
Version 2.0.2
Copyright © 1990 - 2010, Norman ASA. Built 2010/11/12 12:32:24

Scan started: 2011/02/24 23:30:50

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3(Safe mode with network)
Logged on user: ROBOTER\***


Scanning kernel...

Scan complete
#############################################

cosinus 25.02.2011 11:45
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

uka 25.02.2011 13:10
Hallo arne,

viele dank erstmal für die Hilfe. Einen mbam-Vollscan muss ich noch machen. Ansonsten sind im folgenden einige Scans aufgeführt, nach Uhrzeit geordnet. Einen älteren Scan habe ich auch mal drangehängt (a).

OTL liefere ich nach...


hier die mbam-logs:
a#########################
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4888

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.10.2010 09:34:06
mbam-log-2010-10-20 (09-34-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167753
Laufzeit: 24 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Helper\bin\liveu.exe (Trojan.Agent) -> Quarantined and deleted successfully.

##########################
1#########################
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4888

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

24.02.2011 22:49:37
mbam-log-2011-02-24 (22-49-37).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 166648
Laufzeit: 8 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Benutzer\Mustermann\Eigene Dateien\downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
##########################
2#########################
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4888

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

24.02.2011 22:49:37
mbam-log-2011-02-24 (22-49-37).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 166648
Laufzeit: 8 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Benutzer\Mustermann\Eigene Dateien\downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

##########################
3##########################
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5873

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

24.02.2011 23:46:11
mbam-log-2011-02-24 (23-46-11).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 176010
Laufzeit: 3 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

##########################
4#########################
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5873

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

25.02.2011 00:14:58
mbam-log-2011-02-25 (00-14-58).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 56
Laufzeit: 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

##########################
5#########################
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5873

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.02.2011 10:00:18
mbam-log-2011-02-25 (10-00-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 176911
Laufzeit: 12 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

##########################

cosinus 25.02.2011 13:19
Mach bitte mal einen VOLLSCAN

uka 25.02.2011 15:39
Liste der Anhänge anzeigen (Anzahl: 1)
Ok, jetzt kommt der Vollscan. Hat ganz schön lange gedauert - und das wo meine große externe Platte immer noch nicht wieder drangehängt ist.
##################################
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5873

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.02.2011 15:20:33
mbam-log-2011-02-25 (15-20-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 242874
Laufzeit: 2 Stunde(n), 7 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
##################################

Während der Malware-Scan lief meldete sich mein Sophos auch mal wieder. Dachte schon der spielt gar nicht mehr mit. Jedenfalls hat der auch was gefunden: siehe Anhang.

Jetzt werde ich noch OTL und ev. noch S+D laufen lassen.

cosinus 25.02.2011 15:41
Funde alle entfernt, die Sophos gemeldet hat?
Wenn ja bitte frische OTL Logs erstellen und posten:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

uka 25.02.2011 16:09
OTL-Scan (OTL):OTL Logfile:
Code:
OTL logfile created on: 25.02.2011 15:44:16 - Run 1
OTL by OldTimer - Version 3.2.21.0    Folder = C:\Dokumente und Einstellungen\Mustermann\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
503,00 Mb Total Physical Memory | 90,00 Mb Available Physical Memory | 18,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 51,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 11,72 Gb Total Space | 0,82 Gb Free Space | 7,03% Space Free | Partition Type: NTFS
Drive D: | 12,69 Gb Total Space | 0,35 Gb Free Space | 2,76% Space Free | Partition Type: NTFS
Drive E: | 12,85 Gb Total Space | 2,88 Gb Free Space | 22,38% Space Free | Partition Type: NTFS
Drive U: | 39,06 Gb Total Space | 33,61 Gb Free Space | 86,03% Space Free | Partition Type: NTFS
 
Computer Name: ROBOTER | User Name: Mustermann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Mustermann\Desktop\OTL.exe (OldTimer Tools)
PRC - D:\Programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
PRC - c:\Programme\Sophos\AutoUpdate\ALsvc.exe (Sophos Plc)
PRC - C:\Programme\Sophos\AutoUpdate\ALMon.exe (Sophos Plc)
PRC - C:\Programme\Sophos\Sophos Anti-Virus\SavMain.exe (Sophos Plc)
PRC - c:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe (Sophos Plc)
PRC - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe (Sophos Plc)
PRC - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe (Sophos Plc)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\WINDOWS\system32\drivers\CDAC11BA.EXE (Macrovision)
PRC - D:\Programme_2\Spyware Doctor\BDT\BDTUpdateService.exe (Threat Expert Ltd.)
PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
PRC - D:\Programme_2\Adobe\Acrobat 7.0\Distillr\acrotray.exe (Adobe Systems Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE (Logitech Inc.)
PRC - C:\WINDOWS\system32\BRSVC01A.EXE (brother Industries Ltd)
PRC - C:\Programme\Okidata\OKI LPR Utility\okilpr.exe (Oki Data Corporation)
PRC - C:\WINDOWS\system32\BRSS01A.EXE (brother Industries Ltd)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Mustermann\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msvcp60.dll (Microsoft Corporation)
MOD - C:\Programme\Gemeinsame Dateien\Logitech\Scrolling\LGMSGHK.DLL (Logitech Inc.)
MOD - C:\Programme\Logitech\MouseWare\system\LgWndHk.dll (Logitech Inc.)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) --  File not found
SRV - (Sophos AutoUpdate Service) -- c:\Programme\Sophos\AutoUpdate\ALsvc.exe (Sophos Plc)
SRV - (swi_service) -- c:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe (Sophos Plc)
SRV - (SAVService) -- c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe (Sophos Plc)
SRV - (SAVAdminService) -- c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe (Sophos Plc)
SRV - (C-DillaCdaC11BA) -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE (Macrovision)
SRV - (sdCoreService) -- D:\Programme_2\Spyware Doctor\pctsSvc.exe (PC Tools)
SRV - (sdAuxService) -- D:\Programme_2\Spyware Doctor\pctsAuxs.exe (PC Tools)
SRV - (Browser Defender Update Service) -- D:\Programme_2\Spyware Doctor\BDT\BDTUpdateService.exe (Threat Expert Ltd.)
SRV - (Brother XP spl Service) -- C:\WINDOWS\system32\BRSVC01A.EXE (brother Industries Ltd)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (SAVOnAccessFilter) -- C:\WINDOWS\system32\drivers\savonaccessfilter.sys (Sophos Plc)
DRV - (sdcfilter) -- C:\WINDOWS\system32\drivers\sdcfilter.sys (Sophos Plc)
DRV - (SAVOnAccessControl) -- C:\WINDOWS\system32\drivers\savonaccesscontrol.sys (Sophos Plc)
DRV - (SophosBootDriver) -- C:\WINDOWS\system32\drivers\SophosBootDriver.sys (Sophos Plc)
DRV - (SASKUTIL) -- D:\Programme_2\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASDIFSV) -- D:\Programme_2\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (CdaC15BA) -- C:\WINDOWS\system32\drivers\CDAC15BA.SYS (Macrovision Europe Ltd)
DRV - (PCTCore) -- C:\WINDOWS\system32\drivers\PCTCore.sys (PC Tools)
DRV - (slabser) -- C:\WINDOWS\system32\drivers\slabser.sys (MCCI)
DRV - (slabbus) USB Data Cable driver (WDM) -- C:\WINDOWS\system32\drivers\slabbus.sys (MCCI)
DRV - (LMouFlt2) -- C:\WINDOWS\system32\drivers\LMouFlt2.Sys (Logitech, Inc.)
DRV - (L8042PR2) -- C:\WINDOWS\system32\drivers\L8042PR2.SYS (Logitech, Inc.)
DRV - (LHidFlt2) -- C:\WINDOWS\system32\drivers\LHidFlt2.Sys (Logitech, Inc.)
DRV - (STAC97) Audio Driver (WDM) -- C:\WINDOWS\system32\drivers\STAC97.sys (SigmaTel, Inc.)
DRV - (AN983) -- C:\WINDOWS\system32\drivers\an983.sys (ADMtek Incorporated.)
DRV - (sermouse) -- C:\WINDOWS\system32\drivers\sermouse.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.tu-clausthal.de/Welcome.php.de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.0.9.3
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: c:\programme\real\browserrecord\firefox\ext [2009.10.28 09:30:44 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.12 20:13:40 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.02.11 16:01:29 | 000,000,000 | ---D | M]
 
[2008.08.27 13:21:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Extensions
[2011.02.25 15:21:43 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\extensions
[2011.01.07 14:05:23 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2011.01.07 14:04:22 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.07.11 23:33:58 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}(2)
[2011.02.25 15:21:43 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.04.09 15:40:44 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2009.10.28 09:30:44 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\PROGRAMME\REAL\BROWSERRECORD\FIREFOX\EXT
[2010.07.01 07:56:43 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.01 07:56:43 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.01 07:56:43 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.01 07:56:44 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.01 07:56:44 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.02.25 03:05:53 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (PC Tools Browser Guard BHO) - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - D:\Programme_2\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\Programme\Real\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Sophos Web Content Scanner) - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - c:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll (Sophos Plc)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (PC Tools Browser Guard) - {472734EA-242A-422B-ADF8-83D1E48CC825} - D:\Programme_2\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 7.0] D:\Programme_2\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (Macrovision Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (Macrovision Corporation)
O4 - HKLM..\Run: [Logitech Utility] C:\WINDOWS\LOGI_MWX.EXE (Logitech Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [Sophos AutoUpdate Monitor] c:\Programme\Sophos\AutoUpdate\ALMon.exe (Sophos Plc)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKCU..\Run: [NBJ] D:\Programme_2\Ahead\Nero BackItUp\nbj.exe (Ahead Software AG)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [SUPERAntiSpyware] D:\Programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O4 - HKCU..\Run: [updateMgr] D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe (Oki Data Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab (Microsoft Office Template and Media Control)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} hxxp://download.microsoft.com/download/6/7/5/675d28f5-2a8e-4bac-bd9b-ee147f352714/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220447215796 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - D:\Programme_2\SUPERAntiSpyware\SASWINLO.DLL - D:\Programme_2\SUPERAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - D:\Programme_2\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.11.29 10:18:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.25 15:41:56 | 000,577,024 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\OTL.exe
[2011.02.25 12:43:14 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.02.25 04:37:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Seuche
[2011.02.25 02:54:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2011.02.25 02:47:53 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011.02.25 02:43:52 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011.02.25 02:43:52 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011.02.25 02:43:52 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011.02.25 02:43:52 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011.02.25 02:43:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.02.25 02:40:05 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.02.25 02:11:44 | 000,149,456 | ---- | C] (PC Tools) -- C:\WINDOWS\SGDetectionTool.dll
[2011.02.25 02:11:43 | 001,640,400 | ---- | C] (Threat Expert Ltd.) -- C:\WINDOWS\PCTBDCore.dll
[2011.02.25 02:11:43 | 000,165,840 | ---- | C] (Threat Expert Ltd.) -- C:\WINDOWS\PCTBDRes.dll
[2011.02.25 02:10:29 | 000,233,136 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctgntdi.sys
[2011.02.25 02:10:10 | 000,207,280 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\PCTCore.sys
[2011.02.25 02:10:10 | 000,087,784 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\PCTAppEvent.sys
[2011.02.25 02:10:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spyware Doctor
[2011.02.25 02:09:59 | 000,070,408 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctplsg.sys
[2011.02.25 02:09:50 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\PC Tools
[2011.02.25 02:09:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
[2011.02.25 02:09:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\PC Tools
[2011.02.25 02:09:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.02.25 01:18:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com
[2011.02.25 01:18:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2011.02.25 00:08:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Sammel
[2011.02.24 23:34:03 | 000,258,560 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\OTH.exe
[2011.02.24 23:27:00 | 002,161,480 | ---- | C] (Norman ASA) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Norman_TDSS_Cleaner.exe
[2011.02.24 23:26:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Desktop\tdsskiller
[2011.02.24 21:14:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
[2011.02.11 15:51:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Ersatzteile
[2011.02.04 10:23:33 | 000,131,824 | ---- | C] (Sophos Plc) -- C:\WINDOWS\System32\sdccoinstaller.dll
[2011.02.04 10:22:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos Web Intelligence
[2011.02.04 10:21:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sophos
[2011.02.04 10:21:17 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Cisco Systems
[2011.02.04 10:20:48 | 000,028,912 | ---- | C] (Sophos Plc) -- C:\WINDOWS\System32\SophosBootTasks.exe
[2011.02.04 10:13:30 | 000,023,928 | ---- | C] (Sophos Plc) -- C:\WINDOWS\System32\drivers\sdcfilter.sys
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[27 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.25 15:38:36 | 000,065,179 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\seuche-sophos_1.jpg
[2011.02.25 15:36:47 | 000,002,516 | -HS- | M] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2011.02.25 13:08:33 | 000,577,024 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\OTL.exe
[2011.02.25 09:36:51 | 000,002,191 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
[2011.02.25 09:36:00 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.02.25 09:34:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.02.25 03:09:40 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{ED772B8A-90FA-4845-B169-034681B6017E}.job
[2011.02.25 03:05:53 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.02.25 02:47:59 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2011.02.25 02:36:14 | 004,274,259 | R--- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\ComboFix.exe
[2011.02.25 01:54:00 | 000,000,107 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Your system is infected - Virus - Hilfe!! ).URL
[2011.02.25 01:18:43 | 000,000,745 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\SUPERAntiSpyware Free Edition.lnk
[2011.02.24 23:33:39 | 000,258,560 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\OTH.exe
[2011.02.24 23:26:39 | 002,161,480 | ---- | M] (Norman ASA) -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Norman_TDSS_Cleaner.exe
[2011.02.24 23:25:19 | 001,257,772 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\tdsskiller.zip
[2011.02.24 00:38:30 | 000,000,148 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Samsung CLX-3175N Multifunktionsgerät Amazon.de Computer & Zubehör.URL
[2011.02.22 17:13:07 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011.02.15 17:03:14 | 000,000,820 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bewerbung 2011.lnk
[2011.02.14 14:03:22 | 000,000,813 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bewerbungsunterlagen (40GB-Platte).lnk
[2011.02.11 16:20:32 | 000,000,459 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Herr Leers.lnk
[2011.02.11 16:01:30 | 000,001,594 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2011.02.10 03:37:50 | 000,307,464 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.02.10 03:18:15 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.02.09 11:15:13 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bad_1.doc.lnk
[2011.02.09 11:14:30 | 000,001,157 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Reduction of table ware porcelain firing temperature_1.doc.lnk
[2011.02.04 10:13:57 | 000,131,824 | ---- | M] (Sophos Plc) -- C:\WINDOWS\System32\sdccoinstaller.dll
[2011.02.04 10:13:40 | 000,024,064 | ---- | M] (Sophos Plc) -- C:\WINDOWS\System32\drivers\savonaccessfilter.sys
[2011.02.04 10:13:30 | 000,023,928 | ---- | M] (Sophos Plc) -- C:\WINDOWS\System32\drivers\sdcfilter.sys
[2011.02.04 10:13:27 | 000,153,344 | ---- | M] (Sophos Plc) -- C:\WINDOWS\System32\drivers\savonaccesscontrol.sys
[2011.02.04 10:13:27 | 000,028,912 | ---- | M] (Sophos Plc) -- C:\WINDOWS\System32\SophosBootTasks.exe
[2011.02.02 11:49:56 | 000,000,749 | ---- | M] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\_Dissertation.lnk
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[27 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.02.25 15:32:05 | 000,065,179 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\seuche-sophos_1.jpg
[2011.02.25 02:47:59 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2011.02.25 02:47:55 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2011.02.25 02:43:52 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.02.25 02:43:52 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.02.25 02:43:52 | 000,089,088 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.02.25 02:43:52 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.02.25 02:43:52 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.02.25 02:36:08 | 004,274,259 | R--- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\ComboFix.exe
[2011.02.25 02:11:44 | 000,767,952 | ---- | C] () -- C:\WINDOWS\BDTSupport.dll
[2011.02.25 02:11:44 | 000,000,882 | ---- | C] () -- C:\WINDOWS\RegSDImport.xml
[2011.02.25 02:11:44 | 000,000,880 | ---- | C] () -- C:\WINDOWS\RegISSImport.xml
[2011.02.25 02:11:44 | 000,000,131 | ---- | C] () -- C:\WINDOWS\IDB.zip
[2011.02.25 02:11:43 | 001,152,444 | ---- | C] () -- C:\WINDOWS\UDB.zip
[2011.02.25 02:10:29 | 000,007,387 | ---- | C] () -- C:\WINDOWS\System32\drivers\pctgntdi.cat
[2011.02.25 02:10:10 | 000,007,412 | ---- | C] () -- C:\WINDOWS\System32\drivers\PCTAppEvent.cat
[2011.02.25 02:10:10 | 000,007,383 | ---- | C] () -- C:\WINDOWS\System32\drivers\pctcore.cat
[2011.02.25 02:09:59 | 000,007,383 | ---- | C] () -- C:\WINDOWS\System32\drivers\pctplsg.cat
[2011.02.25 01:54:00 | 000,000,107 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Your system is infected - Virus - Hilfe!! ).URL
[2011.02.25 01:18:43 | 000,000,745 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\SUPERAntiSpyware Free Edition.lnk
[2011.02.24 23:25:53 | 001,257,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\tdsskiller.zip
[2011.02.24 00:38:30 | 000,000,148 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Samsung CLX-3175N Multifunktionsgerät Amazon.de Computer & Zubehör.URL
[2011.02.15 17:03:14 | 000,000,820 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bewerbung 2011.lnk
[2011.02.14 14:03:22 | 000,000,813 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bewerbungsunterlagen (40GB-Platte).lnk
[2011.02.11 16:20:32 | 000,000,459 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Herr Leers.lnk
[2011.02.09 11:15:13 | 000,000,944 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Bad_1.doc.lnk
[2011.02.09 11:14:30 | 000,001,157 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\Reduction of table ware porcelain firing temperature_1.doc.lnk
[2011.02.02 11:49:56 | 000,000,749 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Desktop\_Dissertation.lnk
[2010.07.22 08:34:15 | 000,000,246 | ---- | C] () -- C:\WINDOWS\OPHJ.INI
[2010.02.15 15:05:26 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.01.02 18:24:00 | 000,021,504 | ---- | C] () -- C:\WINDOWS\jestertb.dll
[2009.09.10 14:45:30 | 000,009,394 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Tabulatorgetrennte Werte (Windows).CAL
[2009.09.10 14:42:21 | 000,009,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Kommagetrennte Werte (Windows).CAL
[2009.03.12 19:01:02 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2008.12.05 11:06:07 | 000,000,028 | ---- | C] () -- C:\WINDOWS\MotionDVSTUDIO.INI
[2008.06.09 17:40:00 | 000,000,173 | ---- | C] () -- C:\WINDOWS\viewer.ini
[2007.05.04 17:00:51 | 000,002,516 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2007.03.22 09:49:26 | 000,000,389 | ---- | C] () -- C:\WINDOWS\OPLN.INI
[2007.02.05 20:43:30 | 000,018,176 | ---- | C] () -- C:\WINDOWS\System32\drivers\sermouse.sys
[2007.01.05 01:22:34 | 000,001,759 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2007.01.02 11:24:27 | 000,000,041 | ---- | C] () -- C:\WINDOWS\pos.ini
[2006.12.28 20:58:59 | 000,000,516 | ---- | C] () -- C:\WINDOWS\ob1.INI
[2006.12.11 14:37:22 | 000,117,683 | ---- | C] () -- C:\WINDOWS\cgmxp32.ini
[2006.12.06 11:33:56 | 000,207,360 | ---- | C] () -- C:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.11.29 14:38:26 | 000,000,040 | ---- | C] () -- C:\WINDOWS\BO5170DN.INI
[2006.11.29 14:37:56 | 000,000,482 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2006.11.29 14:37:56 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\brss01a.ini
[2006.11.29 14:37:56 | 000,000,026 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2006.11.29 11:04:32 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.11.29 10:02:04 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006.10.13 11:30:10 | 000,668,976 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL
[2000.10.16 15:16:38 | 000,225,280 | ---- | C] () -- C:\WINDOWS\System32\Scint100.dll
[2000.10.16 15:16:38 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\sccres100.dll
 
========== LOP Check ==========
 
[2010.02.11 14:49:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2010.12.13 20:55:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2011.02.25 01:53:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
[2008.12.05 10:45:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panasonic
[2011.02.25 09:45:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2011.02.04 10:20:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
[2011.02.04 10:22:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos Web Intelligence
[2011.02.25 09:35:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2007.01.04 12:13:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Autodesk
[2008.12.05 19:53:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\avidemux
[2010.12.13 21:26:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\elsterformular
[2008.12.05 19:53:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\gtk-2.0
[2008.08.25 15:48:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mobile Master
[2006.12.29 15:19:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\OfficeUpdate12
[2007.05.08 09:25:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\SMSServant
[2009.02.09 15:15:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Stellarium
[2010.10.11 10:31:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\TrusteerHelp
[2010.08.12 14:06:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Uniblue
[2011.02.25 03:09:40 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{ED772B8A-90FA-4845-B169-034681B6017E}.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> D:\Benutzer\Mustermann\Eigene Dateien\spider_1.sav:SummaryInformation
@Alternate Data Stream - 158 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8

< End of report >
--- --- ---




OTL-Scan (Extras):OTL Logfile:
Code:
OTL Extras logfile created on: 25.02.2011 15:44:23 - Run 1
OTL by OldTimer - Version 3.2.21.0    Folder = C:\Dokumente und Einstellungen\Mustermann\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
503,00 Mb Total Physical Memory | 90,00 Mb Available Physical Memory | 18,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 51,00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 11,72 Gb Total Space | 0,82 Gb Free Space | 7,03% Space Free | Partition Type: NTFS
Drive D: | 12,69 Gb Total Space | 0,35 Gb Free Space | 2,76% Space Free | Partition Type: NTFS
Drive E: | 12,85 Gb Total Space | 2,88 Gb Free Space | 22,38% Space Free | Partition Type: NTFS
Drive U: | 39,06 Gb Total Space | 33,61 Gb Free Space | 86,03% Space Free | Partition Type: NTFS
 
Computer Name: ROBOTER | User Name: Mustermann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme_2\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme_2\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
"" =
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Teamspeak2_RC2\server_windows.exe" = C:\Programme\Teamspeak2_RC2\server_windows.exe:*:Enabled:Server -- ()
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Real\realplay.exe" = C:\Programme\Real\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{15C418EB-7675-42be-B2B3-281952DA014D}" = Sophos AutoUpdate
"{230B6B75-2B15-4FF2-B50D-6EDA33A7FDA9}" = OriginPro7G
"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 19
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{332D9DDE-7A4E-40B6-927C-E83F1957C7E7}" = MobileMaster
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{38ADB9A6-798C-11D6-A855-00105A80791C}" = OKI Network Extension
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{4CFD22CE-415D-4B1D-8EA7-F1EEF0E0995E}" = SMS Outlook AddIn
"{4E98F23B-1328-4322-A6EC-2EDC8FC3A4FE}" = FontNav
"{5783F2D7-0205-0407-0002-0060B0CE6BBA}" = AutoCAD Mechanical 2004
"{5809E7CF-4DCF-11D4-9875-00105ACE7734}" = Logitech MouseWare 9.79.1
"{63218538-4A69-497F-8455-904261B0E9E4}" = CorelDRAW Graphics Suite X3
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6EECB283-E65F-40EF-86D3-D51BF02A8D43}" = Microsoft Office Converter Pack
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics Driver
"{90110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90850407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{9ACB414D-9347-40B6-A453-5EFB2DB59DFA}" = Sophos Anti-Virus
"{A344F95E-E51A-450C-8F84-C940BF61903E}" = OKI Color Swatch-Dienstprogramm
"{AC76BA86-1033-F400-7760-100000000002}" = Adobe Acrobat 7.0 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.2 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B652CC58-6222-4149-B52D-C632AEE8C66C}" = NI LabVIEW Run-Time Engine 6.0.2
"{C94E45B0-6AA6-4FB9-9AAE-22085F631880}" = VBA
"{C9FB6FFC-B3D2-4AA0-AC05-73DB7796B638}" = DE
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware
"{D3EE034D-5B92-4A55-AA02-2E6D0A6A96EE}" = Windows Resource Kit Tools - SubInAcl.exe
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}" = Update Manager
"{F9B32332-3A66-4480-9769-CAB45CA1D179}" = MotionDV STUDIO 5.1E LE for DV
"Adobe Acrobat 7.0 Professional - English, Français, Deutsch - V" = Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"Autodesk Express Viewer" = Autodesk Express Viewer
"Browser Defender_is1" = Browser Defender 2.0.6.11
"CCleaner" = CCleaner
"CdaC13Ba" = SafeCast Shared Components
"FileZilla" = FileZilla (remove only)
"FreePDF_XP" = FreePDF XP (Remove only)
"GPL Ghostscript 8.62" = GPL Ghostscript 8.62
"GPL Ghostscript Fonts" = GPL Ghostscript Fonts
"HijackThis" = HijackThis 1.99.1
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NeroVision!UninstallKey" = Nero Digital
"NETZSCH Componenten Kinetics 1" = NETZSCH Componenten Kinetics 1
"NETZSCH Thermal Simulations 2" = NETZSCH Thermal Simulations 2
"NETZSCH ThermoKinetics3" = NETZSCH ThermoKinetics3
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NMIX!UninstallKey" = NeroMIX
"NMPUninstallKey" = Nero Media Player
"NVEContent!UninstallKey" = NeroVision Express Content
"OKI LPR Utility" = OKI LPR Utility
"PuTTY_is1" = PuTTY version 0.60
"RealPlayer 12.0" = RealPlayer
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Security Task Manager" = Security Task Manager 1.7
"Spyware Doctor" = Spyware Doctor 7.0
"TeamSpeak 2 Server_is1" = TeamSpeak 2 Server RC2
"TextMaker Viewer" = TextMaker Viewer
"The Off By One Web Browser" = The Off By One Web Browser
"USBCOMM&10AB&10C5" = USB Data Cable
"VLC media player" = VLC media player 1.0.5
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Advanced EFS Data Recovery" = Advanced EFS Data Recovery
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 26.09.2010 13:21:42 | Computer Name = ROBOTER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 10.0.2627.1, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 26.09.2010 14:13:09 | Computer Name = ROBOTER | Source = Microsoft Office 10 | ID = 2001
Description = Rejected Safe Mode action : Microsoft Outlook.
 
Error - 06.10.2010 04:48:40 | Computer Name = ROBOTER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Acrobat.exe, Version 7.0.8.218, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 06.10.2010 04:51:10 | Computer Name = ROBOTER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 9.3.3.177, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 13.10.2010 08:34:23 | Computer Name = ROBOTER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 10.0.2627.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 13.10.2010 08:34:27 | Computer Name = ROBOTER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 10.0.2627.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 24.02.2011 19:06:41 | Computer Name = ROBOTER | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\DOKUME~1\Mustermann\LOKALE~1\Temp\STOPzilla!\SZPro5.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 24.02.2011 19:13:05 | Computer Name = ROBOTER | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\DOKUME~1\Mustermann\LOKALE~1\Temp\STOPzilla!\SZPro5.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 24.02.2011 19:24:18 | Computer Name = ROBOTER | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\DOKUME~1\Mustermann\LOKALE~1\Temp\STOPzilla!\SZPro5.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 24.02.2011 19:26:52 | Computer Name = ROBOTER | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\DOKUME~1\Mustermann\LOKALE~1\Temp\STOPzilla!\SZPro5.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
[ System Events ]
Error - 24.02.2011 20:26:37 | Computer Name = ROBOTER | Source = Srv | ID = 2000
Description = Der Aufruf eines Systemdienstes durch den Serverdienst ist unerwartet
 fehlgeschlagen.
 
Error - 24.02.2011 20:56:02 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 24.02.2011 20:59:29 | Computer Name = ROBOTER | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  Fips  intelppm  SASDIFSV  SASKUTIL  SAVOnAccessControl  SAVOnAccessFilter
 
Error - 24.02.2011 20:59:48 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 24.02.2011 21:10:11 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 24.02.2011 21:21:40 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 24.02.2011 21:36:34 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 24.02.2011 21:42:12 | Computer Name = ROBOTER | Source = Service Control Manager | ID = 7034
Description = Dienst "Sophos Anti-Virus" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 24.02.2011 22:02:01 | Computer Name = ROBOTER | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 24.02.2011 22:20:29 | Computer Name = ROBOTER | Source = Service Control Manager | ID = 7016
Description = Der Dienst "BrSplService" hat einen ungültigen aktuellen Status gemeldet:
 0
 
 
< End of report >
--- --- ---

uka 25.02.2011 16:10
Das war übrigens vor dem Löschen der Sophos-Meldungen.

uka 25.02.2011 19:07
Hallo Arne,

habe jetzt den letzten Scan fertig: Spybot S&D hat auch gar nichts gefunden.
Möglicherweise habe ich einen Fehler gemacht:
Nach dem ersten OTL-Scan habe ich die Sophos-Meldungen bereinigt. Danach habe ich noch einen Quick-Scan mit OTL gemacht und danach einfach auf "Bereinigen" gedrückt. Da startete sofort eine Prozedur und es sind ein paar Sachen vom Desktop verschwunden. Im Grunde bin ich der Meinung, bei so einem Krebsgeschwür lieber etwas mehr wegschneiden als zu wenig. Ich hoffe, dass jetzt die Seuche beseitigt worden ist.
Das System ist mir reichlich unwichtig, aber meine Daten wollte ich nicht verlieren und vor allem nicht infizieren. Somit bleibt die Frage, ob das nun ausreichend gewährleistet ist und was mache ich richtigerweise mit meiner externen Festplatte, die die ganzen Scanprozeduren bis jetzt nicht erfahren hat.

Viele liebe Grüße und herzlichen Dank für die Hilfe

Uwe

cosinus 26.02.2011 19:42
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
@Alternate Data Stream - 88 bytes -> D:\Benutzer\Mustermann\Eigene Dateien\spider_1.sav:SummaryInformation
@Alternate Data Stream - 158 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
[2011.02.25 01:53:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

uka 28.02.2011 11:48
Habe ich gemacht. War leider unkonzentriert und hatte vergessen, den Mustermann zu ändern. Aber das, worum es dabei ging, ist sowieso nur ein gespeicherter Spielstand vom Winowsspiel Spider Solitär. Also nichts Entscheidendes. Hier nun das log file:
Anfang###############
All processes killed
========== OTL ==========
Unable to delete ADS D:\Benutzer\Mustermann\Eigene Dateien\spider_1.sav:SummaryInformation .
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mKlJeDa06504\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
->Flash cache emptied: 405 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Mustermann
->Temp folder emptied: 377553 bytes
->Temporary Internet Files folder emptied: 22960449 bytes
->Java cache emptied: 139924 bytes
->FireFox cache emptied: 88566917 bytes
->Flash cache emptied: 22487 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Mustermann2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
->FireFox cache emptied: 12988198 bytes
->Flash cache emptied: 348 bytes

User: Mustermann3
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2979 bytes
->FireFox cache emptied: 24822405 bytes
->Flash cache emptied: 627 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139177 bytes
%systemroot%\System32 .tmp files removed: 3048839 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3378718 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 150,00 mb


OTL by OldTimer - Version 3.2.21.0 log created on 02282011_111145

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ende################

Wegen meines anfänglichen Fehlers habe ich das nochmal laufenlassen:
Anfang###############
All processes killed
========== OTL ==========
ADS D:\Benutzer\Mustermann\Eigene Dateien\spider_1.sav:SummaryInformation deleted successfully.
Unable to delete ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 .
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mKlJeDa06504\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Mustermann
->Temp folder emptied: 372245 bytes
->Temporary Internet Files folder emptied: 206756 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3711513 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Mustermann2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Mustermann3
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3357748 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 7,00 mb


OTL by OldTimer - Version 3.2.21.0 log created on 02282011_112646

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ende################

Um nochmal zurückzukommen auf meine externe Platte: Wie gehe ich damit gefahrlos um?

Viele Grüße

uka

cosinus 28.02.2011 13:16
Zitat:
Wie gehe ich damit gefahrlos um?
1.) Auf dem Windows-Rechner automatische Wiedergabe (Autorun) auf allen Laufwerken deaktivieren.

Um den unter Windows zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

2.) Lass dir alle Dateien anzeigen http://www.trojaner-board.de/59624-a...-sichtbar.html

3.) Jetzt möglicherweise infizierte USB-Datenträger anschließen

4.) Findest du auf einem Stick oder einer USB-Platte eine autorun.inf, so ist dieser Datenträger womöglich mit einem Autorun-Wurm infiziert - autorun.inf mit dem Editor öffnen und den Inhalt dieser Datei hier posten



Aber erstmal CF ausführen würd ich sagen:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

uka 28.02.2011 15:07
CF-Logfile:
Combofix Logfile:
Code:
ComboFix 11-02-27.02 - Mustermann 28.02.2011  14:40:25.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.503.242 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mustermann\Desktop\cofi.exe
AV: Sophos Anti-Virus *Disabled/Updated* {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\jestertb.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2011-01-28 bis 2011-02-28  ))))))))))))))))))))))))))))))
.

2011-02-28 10:11 . 2011-02-28 10:11        --------        d-----w-        C:\_OTL
2011-02-25 01:11 . 2009-11-10 09:28        149456        ----a-w-        c:\windows\SGDetectionTool.dll
2011-02-25 01:11 . 2009-11-10 09:26        767952        ----a-w-        c:\windows\BDTSupport.dll
2011-02-25 01:11 . 2009-11-10 09:28        165840        ----a-w-        c:\windows\PCTBDRes.dll
2011-02-25 01:11 . 2009-11-10 09:28        1640400        ----a-w-        c:\windows\PCTBDCore.dll
2011-02-25 01:10 . 2010-02-05 08:17        233136        ----a-w-        c:\windows\system32\drivers\pctgntdi.sys
2011-02-25 01:10 . 2009-10-06 15:31        87784        ----a-w-        c:\windows\system32\drivers\PCTAppEvent.sys
2011-02-25 01:10 . 2009-09-23 15:10        207280        ----a-w-        c:\windows\system32\drivers\PCTCore.sys
2011-02-25 01:09 . 2010-02-05 08:25        70408        ----a-w-        c:\windows\system32\drivers\pctplsg.sys
2011-02-25 01:09 . 2011-02-25 01:12        --------        d-----w-        c:\programme\Gemeinsame Dateien\PC Tools
2011-02-25 01:09 . 2011-02-25 01:09        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2011-02-25 01:09 . 2011-02-25 01:09        --------        d-----w-        c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\PC Tools
2011-02-25 01:09 . 2011-02-28 10:29        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-02-25 00:18 . 2011-02-25 00:18        --------        d-----w-        c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com
2011-02-25 00:18 . 2011-02-25 00:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-02-24 20:14 . 2011-02-25 00:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
2011-02-04 09:23 . 2011-02-04 09:13        131824        ----a-w-        c:\windows\system32\sdccoinstaller.dll
2011-02-04 09:22 . 2011-02-04 09:22        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos Web Intelligence
2011-02-04 09:21 . 2011-02-04 09:21        --------        d-----w-        c:\programme\Gemeinsame Dateien\Cisco Systems
2011-02-04 09:20 . 2011-02-04 09:13        28912        ----a-w-        c:\windows\system32\SophosBootTasks.exe
2011-02-04 09:13 . 2011-02-04 09:13        23928        ----a-w-        c:\windows\system32\drivers\sdcfilter.sys
2011-01-30 13:57 . 2011-01-30 13:57        103864        ----a-w-        c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-01-30 13:57 . 2011-01-30 13:57        103864        ----a-w-        c:\programme\Internet Explorer\PLUGINS\nppdf32.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-04 09:13 . 2006-11-29 10:37        24064        ----a-w-        c:\windows\system32\drivers\savonaccessfilter.sys
2011-02-04 09:13 . 2006-11-29 10:37        153344        ----a-w-        c:\windows\system32\drivers\savonaccesscontrol.sys
2011-01-21 14:44 . 2002-08-29 12:00        440832        ----a-w-        c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2002-08-29 12:00        290048        ----a-w-        c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2002-08-29 12:00        1855104        ----a-w-        c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2002-08-29 12:00        301568        ----a-w-        c:\windows\system32\kerberos.dll
2010-12-20 23:52 . 2002-08-29 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2002-08-29 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2002-08-29 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2002-08-29 12:00        737792        ----a-w-        c:\windows\system32\lsasrv.dll
2010-12-20 17:09 . 2010-10-20 07:01        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-10-20 07:01        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-12-20 12:55 . 2006-11-29 09:47        385024        ----a-w-        c:\windows\system32\html.iec
2010-12-09 15:15 . 2002-08-29 12:00        743936        ----a-w-        c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2002-08-29 12:00        2195072        ----a-w-        c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2002-08-29 03:41        2071680        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2002-08-29 12:00        33280        ----a-w-        c:\windows\system32\csrsrv.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"NBJ"="d:\programme_2\Ahead\Nero BackItUp\nbj.exe" [2006-09-15 2048000]
"updateMgr"="d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [2006-03-30 313472]
"SUPERAntiSpyware"="d:\programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-02-18 2423752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-08-20 118784]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-10-28 198160]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"Acrobat Assistant 7.0"="d:\programme_2\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"QuickTime Task"="d:\programme_2\QuickTime\QTTask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="d:\programme_2\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Sophos AutoUpdate Monitor"="c:\programme\Sophos\AutoUpdate\almon.exe" [2011-02-04 439536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2010-2-18 25214]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
OKI LPR Utility.lnk - c:\programme\Okidata\OKI LPR Utility\okilpr.exe [2008-1-8 151552]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme_2\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21        548352        ----a-w-        d:\programme_2\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Real\\realplay.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [25.02.2011 02:10 207280]
R1 SASDIFSV;SASDIFSV;d:\programme_2\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;d:\programme_2\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [29.11.2006 11:37 153344]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [29.11.2006 11:37 24064]
R2 Browser Defender Update Service;Browser Defender Update Service;d:\programme_2\Spyware Doctor\BDT\BDTUpdateService.exe [25.02.2011 02:11 112592]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [04.02.2011 10:13 163056]
R2 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [04.02.2011 10:13 97520]
R2 swi_service;Sophos Web Intelligence Service;c:\programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [04.02.2011 10:13 1541360]
S3 NDISKIO;NDISKIO;\??\c:\dokume~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys --> c:\dokume~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys [?]
S3 sdAuxService;PC Tools Auxiliary Service;d:\programme_2\Spyware Doctor\pctsAuxs.exe [25.02.2011 02:09 365280]
S3 sdcfilter;sdcfilter;c:\windows\system32\drivers\sdcfilter.sys [04.02.2011 10:13 23928]
S4 SophosBootDriver;SophosBootDriver;c:\windows\system32\drivers\SophosBootDriver.sys [02.10.2008 08:38 14976]
.
Inhalt des "geplante Tasks" Ordners

2011-02-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2011-02-28 c:\windows\Tasks\User_Feed_Synchronization-{ED772B8A-90FA-4845-B169-034681B6017E}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.tu-clausthal.de/Welcome.php.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
TCP: {2E691B91-6470-4169-97DB-EF382D77A35D} = 139.174.2.5,139.174.2.6
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programme\real\browserrecord\firefox\ext
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-28 14:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(568)
d:\programme_2\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\igfxsrvc.dll
c:\windows\system32\hccutils.DLL

- - - - - - - > 'lsass.exe'(624)
c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
.
Zeit der Fertigstellung: 2011-02-28  14:59:13
ComboFix-quarantined-files.txt  2011-02-28 13:59

Vor Suchlauf: 610.570.240 Bytes frei
Nach Suchlauf: 602.791.936 Bytes frei

- - End Of File - - 4A765665AF2598FDA7FD2C9BB9283541
--- --- ---

uka 28.02.2011 16:34
Habe so das Gefühl, das hier ist ein Problem:

c:\dokumente und einstellungen\All Users\Anwendungsdaten\mKlJeDa06504

cosinus 28.02.2011 20:16
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

uka 01.03.2011 11:29
Habe gestern Abend/Nacht 3x versucht, GMER laufen zu lassen: Beim ersten Mal war es fast fertig, dann ist es abgestürzt. Die anderen beiden Male ist es schon früher hängengeblieben. Man kommt da auch nicht mehr raus, wenn es hängt...
Gehe jetzt zu OSAM über...

uka 01.03.2011 11:50
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 11:47:55 on 01.03.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - D:\Programme_2\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"catchme" (catchme) - ? - C:\DOKUME~1\Mustermann\LOKALE~1\Temp\catchme.sys  (File not found)
"CdaC15BA" (CdaC15BA) - "Macrovision Europe Ltd" - C:\WINDOWS\system32\drivers\CDAC15BA.SYS
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"NDISKIO" (NDISKIO) - ? - C:\DOKUME~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PCTools KDS" (PCTCore) - "PC Tools" - C:\WINDOWS\System32\drivers\PCTCore.sys
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"SASDIFSV" (SASDIFSV) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - D:\Programme_2\SUPERAntiSpyware\SASDIFSV.SYS
"SASKUTIL" (SASKUTIL) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - D:\Programme_2\SUPERAntiSpyware\SASKUTIL.SYS
"Serieller Maustreiber" (sermouse) - ? - C:\WINDOWS\System32\DRIVERS\sermouse.sys
"USB Data Cable driver (WDM)" (slabbus) - "MCCI" - C:\WINDOWS\System32\DRIVERS\slabbus.sys
"USB Data Cable Drivers" (slabser) - "MCCI" - C:\WINDOWS\System32\DRIVERS\slabser.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} "SABShellExecuteHook Class" - "SuperAdBlocker.com" - D:\Programme_2\SUPERAntiSpyware\SASSEH.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
{36A21736-36C2-4C11-8ACB-D4136F2B57BD} "AcSignIcon" - "Autodesk" - C:\WINDOWS\system32\AcSignIcon.dll
{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} "ACTHUMBNAIL" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll
{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D} "ContextMenuHandler Class" - "Sophos Plc" - c:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll
 "CorelDRAW Shell Extension Component" - ? -  (File not found | COM-object registry key not found)
{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD} "CorelDRAW Shell Extension Component" - "Corel Corporation" - D:\Programme_2\Corel\CorelDraw Graphics Suite 13\PROGRAMS\CrlShell.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -  (File not found | COM-object registry key not found)
{BC476F4C-D9D7-4100-8D4E-E043F6DEC409} "Microsoft Browser Architecture" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{9AF41401-0C93-11D4-A854-00105A80791C} "OKI" - "Oki Data Corporation" - C:\WINDOWS\system32\opnetext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\programme\real\rpshell.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab
{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab
{02BCC737-B171-4746-94C9-0D8A0B2C0089} "Microsoft Office Template and Media Control" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL / hxxp://office.microsoft.com/templates/ieawsdc.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} "Office Genuine Advantage Validation Tool" - ? - C:\WINDOWS\system32\OGACheckControl.DLL / hxxp://download.microsoft.com/download/6/7/5/675d28f5-2a8e-4bac-bd9b-ee147f352714/OGAControl.cab
{C7DB51B4-BCF7-4923-8874-7F1A0DC92277} "Office Update Installation Engine" - "Microsoft Corporation" - C:\WINDOWS\opuc.dll / hxxp://office.microsoft.com/officeupdate/content/opuc4.cab
{166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\SwDir.dll / hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
{233C1507-6A77-46A4-9443-F871F945D258} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\SwDir.dll / hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash9f.ocx / hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{182EC0BE-5110-49C8-A062-BEB1D02A220B} "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
{472734EA-242A-422B-ADF8-83D1E48CC825} "PC Tools Browser Guard" - "Threat Expert Ltd." - D:\Programme_2\Spyware Doctor\BDT\PCTBrowserDefender.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{2A0F3D1B-0909-4FF4-B272-609CCE6054E7} "PC Tools Browser Guard BHO" - "Threat Expert Ltd." - D:\Programme_2\Spyware Doctor\BDT\PCTBrowserDefender.dll
{3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - c:\programme\real\rpbrowserrecordplugin.dll
{39EA7695-B3F2-4C44-A4BC-297ADA8FD235} "Sophos Web Content Scanner" - "Sophos Plc" - c:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Logon]
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"NBJ" - "Ahead Software AG" - "D:\Programme_2\Ahead\Nero BackItUp\nbj.exe"
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"SUPERAntiSpyware" - "SUPERAntiSpyware.com" - D:\Programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe
"updateMgr" - "Adobe Systems Incorporated" - "D:\Programme_2\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_1_0 -reboot 1
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acrobat Assistant 7.0" - "Adobe Systems Inc." - "D:\Programme_2\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "D:\Programme_2\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"ISUSPM Startup" - "Macrovision Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
"ISUSScheduler" - "Macrovision Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"NeroFilterCheck" - "Nero AG" - C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task" - "Apple Inc." - "D:\Programme_2\QuickTime\QTTask.exe" -atboottime
"Sophos AutoUpdate Monitor" - "Sophos Plc" - c:\Programme\Sophos\AutoUpdate\almon.exe
"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll
"OKI LPR Port" - "Oki Data Corporation" - C:\WINDOWS\system32\oklprmon.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Browser Defender Update Service" (Browser Defender Update Service) - "Threat Expert Ltd." - D:\Programme_2\Spyware Doctor\BDT\BDTUpdateService.exe
"C-DillaCdaC11BA" (C-DillaCdaC11BA) - "Macrovision" - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"PC Tools Auxiliary Service" (sdAuxService) - "PC Tools" - D:\Programme_2\Spyware Doctor\pctsAuxs.exe
"PC Tools Security Service" (sdCoreService) - "PC Tools" - D:\Programme_2\Spyware Doctor\pctsSvc.exe
"Sophos Anti-Virus" (SAVService) - "Sophos Plc" - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
"Sophos Anti-Virus Statusreporter" (SAVAdminService) - "Sophos Plc" - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
"Sophos AutoUpdate Service" (Sophos AutoUpdate Service) - "Sophos Plc" - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
"Sophos Web Intelligence Service" (swi_service) - "Sophos Plc" - c:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"!SASWinLogon" - "SUPERAntiSpyware.com" - D:\Programme_2\SUPERAntiSpyware\SASWINLO.DLL
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"PCTOOLS CONTENT FILTER PROVIDER" - "PC Tools Research Pty Ltd." - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

uka 01.03.2011 11:55
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000027d

Kernel Drivers (total 119):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF8A42000 \WINDOWS\system32\KDCOM.DLL
0xF8952000 \WINDOWS\system32\BOOTVID.dll
0xF8501000 fltmgr.sys
0xF84D2000 ACPI.sys
0xF8A44000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF84C1000 pci.sys
0xF8542000 isapnp.sys
0xF8B0A000 pciide.sys
0xF87C2000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF8A46000 intelide.sys
0xF8552000 MountMgr.sys
0xF84A2000 ftdisk.sys
0xF8A48000 dmload.sys
0xF847C000 dmio.sys
0xF87CA000 PartMgr.sys
0xF8562000 VolSnap.sys
0xF8464000 atapi.sys
0xF8572000 disk.sys
0xF8582000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF8452000 sr.sys
0xF841B000 PCTCore.sys
0xF8404000 KSecDD.sys
0xF83F1000 WudfPf.sys
0xF8364000 Ntfs.sys
0xF8337000 NDIS.sys
0xF831D000 Mup.sys
0xF8762000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xF810B000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xF80F7000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF8822000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF80D3000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF882A000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF8772000 \SystemRoot\System32\DRIVERS\AN983.sys
0xF8782000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF8832000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF8792000 \SystemRoot\System32\Drivers\l8042pr2.sys
0xF87A2000 \SystemRoot\System32\Drivers\LMouFlt2.sys
0xF883A000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF8842000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF809E000 \SystemRoot\System32\DRIVERS\parport.sys
0xF87B2000 \SystemRoot\System32\DRIVERS\serial.sys
0xF8A32000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF85A2000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF85B2000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF8015000 \SystemRoot\System32\DRIVERS\ks.sys
0xF85C2000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF7FE3000 \SystemRoot\system32\drivers\STAC97.sys
0xF7F8D000 \SystemRoot\system32\drivers\portcls.sys
0xF85D2000 \SystemRoot\system32\drivers\drmk.sys
0xF8C40000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF85E2000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF8A3E000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF7F43000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF8250000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF8240000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF884A000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF7EFF000 \SystemRoot\System32\DRIVERS\psched.sys
0xF8230000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF88B2000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF88CA000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF7654000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xF8210000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF8A94000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF73E5000 \SystemRoot\System32\DRIVERS\update.sys
0xF89E2000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF8612000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF86C2000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF8AB4000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF88D2000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xF88EA000 \SystemRoot\system32\DRIVERS\savonaccessfilter.sys
0xED6BF000 \SystemRoot\system32\DRIVERS\savonaccesscontrol.sys
0xF8AC8000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8B3E000 \SystemRoot\System32\Drivers\Null.SYS
0xF8ACA000 \SystemRoot\System32\Drivers\Beep.SYS
0xF88FA000 \SystemRoot\System32\drivers\vga.sys
0xF8ACC000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8ACE000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF8902000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF890A000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF82C4000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xED558000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xED4FF000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xED4A4000 \SystemRoot\System32\DRIVERS\netbt.sys
0xF720E000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xED42B000 \SystemRoot\System32\drivers\afd.sys
0xF7375000 \SystemRoot\System32\DRIVERS\netbios.sys
0xB9D3B000 \??\D:\Programme_2\SUPERAntiSpyware\SASKUTIL.SYS
0xB9B90000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xED07C000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xEE97B000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xEE973000 \??\D:\Programme_2\SUPERAntiSpyware\SASDIFSV.SYS
0xB99E0000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xB9970000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xEE796000 \SystemRoot\System32\Drivers\Fips.SYS
0xB811F000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB4364000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8A52000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB882E000 \SystemRoot\System32\drivers\Dxapi.sys
0xB7A4F000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xB4C79000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF03E000 \SystemRoot\System32\ialmdev5.DLL
0xBF064000 \SystemRoot\System32\ialmdd5.DLL
0xBF125000 \SystemRoot\System32\ATMFD.DLL
0xB8AAE000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xB4247000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF8AEC000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB4278000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
0xB419F000 \SystemRoot\System32\DRIVERS\srv.sys
0xB4112000 \SystemRoot\system32\drivers\wdmaud.sys
0xB46A6000 \SystemRoot\system32\drivers\sysaudio.sys
0xB3BC3000 \SystemRoot\System32\Drivers\HTTP.sys
0xB36D0000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
516 C:\WINDOWS\system32\smss.exe
564 csrss.exe
588 C:\WINDOWS\system32\winlogon.exe
632 C:\WINDOWS\system32\services.exe
644 C:\WINDOWS\system32\lsass.exe
804 C:\WINDOWS\system32\svchost.exe
848 svchost.exe
904 C:\WINDOWS\system32\svchost.exe
1016 SavService.exe
1092 C:\WINDOWS\system32\svchost.exe
1360 svchost.exe
1392 svchost.exe
1472 C:\WINDOWS\system32\BRSVC01A.EXE
1500 C:\WINDOWS\system32\BRSS01A.EXE
1508 C:\WINDOWS\system32\spoolsv.exe
1572 svchost.exe
1604 D:\Programme_2\Spyware Doctor\BDT\BDTUpdateService.exe
1616 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
1656 C:\Programme\Java\jre6\bin\jqs.exe
1688 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
1784 C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
1880 C:\Programme\Sophos\AutoUpdate\ALsvc.exe
392 C:\WINDOWS\explorer.exe
416 C:\WINDOWS\system32\svchost.exe
436 swi_service.exe
2036 alg.exe
2152 C:\WINDOWS\system32\igfxtray.exe
2160 C:\WINDOWS\system32\hkcmd.exe
2196 C:\Programme\FreePDF_XP\fpassist.exe
2204 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
2220 D:\Programme_2\Adobe\Acrobat 7.0\Distillr\acrotray.exe
2504 C:\Programme\Sophos\AutoUpdate\ALMon.exe
2828 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
3040 D:\Programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe
3112 C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
3140 C:\Programme\Messenger\msmsgs.exe
3464 C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
3272 C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
3672 C:\Programme\Mozilla Firefox\firefox.exe
2616 C:\Dokumente und Einstellungen\Mustermann\Desktop\osam_autorun_manager_version_portable\osam.exe
3012 C:\Dokumente und Einstellungen\Mustermann\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000002`ee1b7200 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000006`1a79e400 (NTFS)

PhysicalDrive0 Model Number: ST340014A, Rev: 3.06

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

cosinus 01.03.2011 12:15
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

uka 02.03.2011 18:23
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5929

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02.03.2011 18:20:07
mbam-log-2011-03-02 (18-20-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 245525
Laufzeit: 3 Stunde(n), 50 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 02.03.2011 19:04
Ok, schonmal keine Funde. Das von SASW brauchen wir noch ;)

uka 03.03.2011 10:53
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 03/03/2011 bei 01:00 AM

Version der Applikation : 4.49.1000

Version der Kern-Datenbank : 6514
Version der Spur-Datenbank : 4326

Scan Art : kompletter Scann
Totale Scann-Zeit : 06:24:21

Gescannte Speicherelemente : 510
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 7839
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 73270
Erfasste Datei-Elemente : 0

uka 03.03.2011 12:05
Hallo Cosinus,

zuguterletzt habe ich die externe Platte auf "autorun.inf" gecheckt. 3 Dateien habe ich gefunden, die ich kenne bzw. wo ich die CDs/DVDs gespeichert habe:
1. ein Film (ESA-CD)
#############
[autorun]
open=browsercall.exe index.html
#############
2. eine CD von einer Tagung (Proceedings)
#############
[AutoRun]
open=autorun.exe
icon=autorun.exe,0
label=ACerS ICACC 2009
#############
3. die Hiren's boot CD ( das ist ein prof. Tool, wenn eine Festplatte verreckt ist)
#############
[AutoRun]
icon=bootcd\wintools\autorun.exe
open=bootcd\wintools\autorun.exe
#############

Das ist alles. Ich denke mein System und meine externe Platte sind jetzt clean, oder?

Viele Grüße

Uwe

cosinus 03.03.2011 12:37
Die autoruns auf den CDs interessieren nicht wirklich, weil man diese nicht neu anlegen oder verändern kann. Das Dateisystem auf einer normalen CD/DVD ist immer schreibgeschützt.

Auf den Sticks und Platten fand sich keine autorun.inf?

uka 03.03.2011 13:54
Das ist alles, was auf meiner Platte ist (die 3 CDs habe ich da drauf gespeichert). Sonst gibts keine autorun.inf. Bin nach Anleitung vorgegangen.

cosinus 03.03.2011 14:02
Ok. Keine Funde dann. Rechner wieder soweit ok?

uka 03.03.2011 14:32
Ok, habe noch die eingebauten lokalen Festplatten durchsucht und 3 autorun.inf gefunden. Die rühren aber letztlich auch von CDs her:
1x ein Install-CD von Anwendersoftware:
[autorun]
OPEN=INSTALL.EXE
ICON=NETZSCH.ICO
und noch 2x ein Treibersatz (chipset und display). Die sind schon solange drauf, wie ich den Rechner habe:
[autorun]
open=setup.exe
und
[autorun]
open=setup.exe

Das ist dann definitiv alles.
Aber eine abschließende Fragehabe ich noch: Was ist denn hiermit:

Zitat:
Zitat von uka (Beitrag 625521)
Habe so das Gefühl, das hier ist ein Problem:

c:\dokumente und einstellungen\All Users\Anwendungsdaten\mKlJeDa06504


Mein Rechner läuft ansonsten wieder gut. Kann kein seltsames Verhalten feststellen.
Da ist dann mal eine Spende fällig, oder?

Viele Grüße

Uwe

uka 03.03.2011 14:39
Den entscheidenden Schnitt machte combofix, nicht wahr? Ich hatte ja im Vorfeld schon einiges unternommen und es schien wieder alles gut zu sein als ich mich mit dem Log-file ans Forum wandte.
Vielen Dank für die sachkundige Unterstützung! :daumenhoc Ohne Euch wären sicherlich viele User (mich eingeschlossen) total aufgeschmissen.

cosinus 03.03.2011 15:09
CF ist eine tolle Arbeitserleichtung, aber kein Spielzeug. In deinem Falle hat es aber nicht allzuviel gelöscht ;)

Zitat:
Da ist dann mal eine Spende fällig, oder?
Wäre wirklich nett von dir! :dankeschoen:
Ist aber nur freiwillig, selbstverständlich auch die Höhe der Spende!


Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

uka 03.03.2011 16:54
Hab ich fein säuberlich durchgezogen.

Danke, Mann!

Ein Wort zu FoxitReader:
Ich habe einen Stick - sozusagen das Taschenmesser des Mannes - so für alle Tage, das ich mit einiger unabhängiger Software bestückt habe. Da kann man, wenn man unterwegs auf "schlechte" Software trifft, immer reagieren.
Für PDFs: Foxit Reader
Für Bilder: IrfanView
Browser: OB1 (OffByOne)
Medienplayer: juciPlayer
Das kann man natürlich beliebig erweitern mit portable openoffice usw.
Ich meine, Foxit Reader ist durchaus nützlich und 300 mal besser als der Adobe Reader.

Also, danke nochmal für Deine unermüdliche Hilfe!

Das Thema können wir schließen...


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131