Zugriff auf Taskmanager u. Anwendungen wird blockiert, aufpoppende Alerts u. a.

Pyromir · 02.02.2010, 14:31

Moin,

Folgendes Problem:

seit heute Morgen werde ich massiv mit Windows Security alerts. Antivirus software alerts, einem automatisch aufpoppenden Windows Security Center, immer wieder startendem IE (ich nutze den stets den Fuchs) und was weiß ich nicht noch, genervt. Der IE versucht Seiten wie porno.org, newsoftspot.com, viagra-dingenskirchen etc. pp zu öffnen.

In der Fußleiste ist ein Icon zu "Antivirus Soft" aufgetaucht.

Was habe ich getan? Ich war heute morgen auf der Internetseite zeit.de unterwegs und habe ein paar Artikel gelesen, zwei Foren für tradionelles Bogenschießen besucht und einige Internetseite überprüft, die von mir/uns selbst erstellt wurden.

System? Windows XP Pro auf einen Laptop, Firefox 3.5.7, Thunderbird "irgendeine Versionsnummer" für Mails.

"Irgendeine Versionsnummer" deutet schon auf das Problem hin: Ich kann die meisten Anwendungen nicht mehr starten. Eine Warnmeldung teilt mir mit:
"Application cannot be executed. The file thunderbird.exe is infected. Do you want to activate your antivirus software now?"

Nein, will ich natürlich nicht, hier tickert AntiVir vor sich hin und ich bin mit dem Programm sehr zufrieden!

Interessanterweise kann ich den Taskmanager nicht öffnen, bzw. das Fenster schließt sich sofort (wird von der Malware geschlossen). Auch der Versuch in die Registry zu schauen scheitert kläglich. Beim regeedit Aufruf erhalte ich die Meldung "Application cannot be executed. The file regedit.exe is infected. Do you want to...." NEIN! Verflixt.

Das Feuerwerk an Alerts, sich öffnenden IE-Instanzen etc. ist schon spektakulär.

Hier im Forum habe ich schon etwas nachgelesen. Heruntergeladen habe ich bisher den Avenger (Start wird auch blockiert, entpacken war nicht so einfach machbar) und Malewarebyte's Antimalware... der Programmstart wird auch verhindert.

Was tun sprach Zeus? Vielen Dank für Eure Mühe,

Marc

p.s.: Vielleicht sollte ich noch erwähnen, das auf dem Rechner (teilweise dienstlich genutzt) Security Guard Easy werkelt.

Chris4You · 02.02.2010, 15:13

Hi,

versuche in den abgesicherten Modus zu kommen (F8 beim Booten) und dann mit MAM zu scannen.
Weiterhin:

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

Wenn das nicht funzt, dann machen wir mit CF weiter (wie sieht die Backupsituation aus?)...

Noch eine Anmerkung: Geschäftliche genutzte Rechner werden hier nicht behandelt...

chris

Pyromir · 02.02.2010, 15:25

Erstmal vielen Dank! Ich gehe vor, wie von Dir beschrieben und melde mich dann wieder, wahrscheinlich erst heute Abend.

Der Rechner ist definitiv ein privater. Ich mache aber alle paar Wochen mal einen Tag work@home und dafür müssen wir zwar die Hardware selbst stellen, aber auch in Kauf nehmen, dass Safeguard und Crypto-Zeugs für verschiedene Anwendungen installiert wird. Das hat mit der Natur der Aufträge und Auftraggeber zu tun. Ohne das Zeugs kein work@home.

Chris4You · 02.02.2010, 15:30

Hi,

wahrscheinlich haben wir es dann noch mit einem Rootkit zu tun, daher im abgesicherten Modus GMER ...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
Ps.: Nehme mal dnen Notbook für heute abend mit, solange der Akku reicht....

Pyromir · 02.02.2010, 19:04

Ahoi,

so, alles abgearbeitet. Womit fangen wir an? Am besten am Anfang. MAM ist im abgesicherten Modus durchgelaufen und hat als "Fundsache" Backdoor.Bifose" ausgeworfen. Das MAM-Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180

02.02.2010 18:10:00
mbam-log-2010-02-02 (18-09-51).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 258991
Laufzeit: 41 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\System32 (Backdoor.Bifrose) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

OTL ist ebenfalls sauber durchmarschiert. Das OTL-Log OTL.txt:

Code:

ATTFilter

OTL logfile created on: 02.02.2010 18:11:14 - Run 1
OTL by OldTimer - Version 3.1.27.1     Folder = C:\Dokumente und Einstellungen\schnau\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 700,00 Mb Available Physical Memory | 68,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55,78 Gb Total Space | 10,62 Gb Free Space | 19,04% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 152,62 Gb Total Space | 36,11 Gb Free Space | 23,66% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MMK-SCHNAU2
Current User Name: schnau
Logged in as Administrator.
 
Current Boot Mode: SafeMode with Networking
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\schnau\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\schnau\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (gupdate1c986307ae54ec) Google Update Service (gupdate1c986307ae54ec) -- C:\Programme\Google\Update\GoogleUpdate.exe (Google Inc.)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.)
SRV - (AntiVirScheduler) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
SRV - (HRService) -- C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe ()
SRV - (ANIWZCSdService) -- C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (Alpha Networks Inc.)
SRV - (TUWinStylerThemeSvc) -- C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (TuneUp Software GmbH)
SRV - (WksCfgSrv) -- C:\Programme\Utimaco\SafeGuard Easy\WksCfgSrv.exe (Utimaco Safeware AG)
SRV - (SgeCtl) -- C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe (Utimaco Safeware AG)
SRV - (Ati HotKey Poller) -- C:\WINDOWS\system32\ati2evxx.exe (ATI Technologies Inc.)
SRV - (SgLogPlayer) -- C:\WINDOWS\system32\SgLogPlayer.exe (Utimaco Safeware AG)
SRV - (NICCONFIGSVC) -- C:\Programme\Dell\NicConfigSvc\NicConfigSvc.exe (Dell Inc.)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (WLANKEEPER) -- C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe (Intel® Corporation)
SRV - (S24EventMonitor) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
SRV - (EvtEng) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
SRV - (RegSrvc) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
SRV - (BAsfIpM) -- C:\WINDOWS\system32\BAsfIpM.exe (Broadcom Corp.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (Norton AntiVirus Server) -- C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe (Symantec Corporation)
SRV - (DefWatch) -- C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe (Symantec Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys (Avira GmbH)
DRV - (PxHelp20) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys (Sonic Solutions)
DRV - (NAVEX15) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20071210.002\NAVEX15.SYS (Symantec Corporation)
DRV - (NAVENG) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20071210.002\NAVENG.SYS (Symantec Corporation)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (AVIRA GmbH)
DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.)
DRV - (s916mdm) -- C:\WINDOWS\system32\drivers\s916mdm.sys (MCCI Corporation)
DRV - (s916mgmt) Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\s916mgmt.sys (MCCI Corporation)
DRV - (s916obex) -- C:\WINDOWS\system32\drivers\s916obex.sys (MCCI Corporation)
DRV - (s916bus) Sony Ericsson Device 916 driver (WDM) -- C:\WINDOWS\system32\drivers\s916bus.sys (MCCI Corporation)
DRV - (s916mdfl) -- C:\WINDOWS\system32\drivers\s916mdfl.sys (MCCI Corporation)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (TUSB1150) -- C:\WINDOWS\system32\drivers\TUSB1150.sys (Texas Instruments)
DRV - (ANIO) -- C:\WINDOWS\system32\ANIO.sys (Alpha Networks Inc.)
DRV - (RT73) -- C:\WINDOWS\system32\drivers\Dr71WU.sys (Ralink Technology, Corp.)
DRV - (sfvfs02) StarForce Protection VFS Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfvfs02.sys (Protection Technology)
DRV - (SymEvent) -- C:\Programme\Symantec\SYMEVENT.SYS (Symantec Corporation)
DRV - (AegisP) AEGIS Protocol (IEEE 802.1x) -- C:\WINDOWS\system32\drivers\AegisP.sys (Meetinghouse Data Communications)
DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology)
DRV - (SgeFlt) -- C:\WINDOWS\SYSTEM32\DRIVERS\SGEFLT.SYS (Utimaco Safeware AG)
DRV - (AES-256) -- C:\WINDOWS\SYSTEM32\DRIVERS\AES256.SYS (Utimaco Safeware AG)
DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (STAC97) -- C:\WINDOWS\system32\drivers\STAC97.sys (SigmaTel, Inc.)
DRV - (ApfiltrService) -- C:\WINDOWS\system32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (APPDRV) -- C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS (Dell Inc)
DRV - (IWCA) -- C:\WINDOWS\system32\drivers\iwca.sys (Intel Corporation)
DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)
DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.)
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (bDMusicb) -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Temp\bDMusicb.sys ()
DRV - (HSFHWICH) -- C:\WINDOWS\system32\drivers\HSFHWICH.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (HSF_DP) -- C:\WINDOWS\system32\drivers\HSF_DP.sys (Conexant Systems, Inc.)
DRV - (AVMUNET) -- C:\WINDOWS\system32\drivers\avmunet.sys (AVM GmbH)
DRV - (GTIPCI21) -- C:\WINDOWS\system32\drivers\gtipci21.sys (Texas Instruments)
DRV - (mdmxsdk) -- C:\WINDOWS\system32\drivers\mdmxsdk.sys (Conexant)
DRV - (omci) -- C:\WINDOWS\system32\drivers\omci.sys (Dell Inc)
DRV - (BASFND) -- C:\WINDOWS\system32\drivers\BASFND.sys (Broadcom Corporation)
DRV - (tandpl) -- C:\WINDOWS\system32\drivers\tandpl.sys ()
DRV - (enodpl) -- C:\WINDOWS\system32\drivers\enodpl.sys ()
DRV - (NAVAPEL) -- C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Navapel.sys (Symantec Corporation)
DRV - (NAVAP) -- C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Navap.sys (Symantec Corporation)
DRV - (E100B) Intel(R) -- C:\WINDOWS\system32\drivers\e100b325.sys (Intel Corporation)
DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.)
DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation)
DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation)
DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation)
DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation)
DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.)
DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.)
DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.)
DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/at/dea/gen/default.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/at/dea/gen/default.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/at/dea/gen/default.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "http://www.google.de/"
FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.47
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.8
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.5.0
FF - prefs.js..extensions.enabledItems: firecookie@janodvarko.cz:1.0.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}:0.15
FF - prefs.js..extensions.enabledItems: silvermelxt@pardal.de:1.3.1
FF - prefs.js..extensions.enabledItems: {89736E8E-4B14-4042-8C75-AD00B6BD3900}:1.0.5
FF - prefs.js..extensions.enabledItems: zotero@chnm.gmu.edu:1.0.10
FF - prefs.js..extensions.enabledItems: {961408A3-C970-4577-970A-D97C29839A67}:1.3.1
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.01.14 18:27:34 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.01.14 18:27:34 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2009.08.21 13:41:59 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.11.29 23:52:43 | 000,000,000 | ---D | M]
 
[2008.12.12 21:54:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Extensions
[2008.12.12 21:54:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Extensions\{6334D996-EA3E-4a0e-AA8D-15BA56B37241}
[2010.02.02 08:36:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions
[2008.07.19 23:24:56 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{89736E8E-4B14-4042-8C75-AD00B6BD3900}
[2009.06.20 20:03:16 | 000,000,000 | ---D | M] (Live HTTP Headers) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}
[2009.12.24 21:46:25 | 000,000,000 | ---D | M] (Charamel) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{961408A3-C970-4577-970A-D97C29839A67}
[2010.01.16 20:54:24 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.01.30 07:53:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
[2010.01.13 19:31:13 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2010.01.20 04:45:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\firebug@software.joehewitt.com
[2010.01.13 19:31:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\firecookie@janodvarko.cz
[2009.12.24 21:46:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\silvermelxt@pardal.de
[2009.05.09 16:51:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\zotero@chnm.gmu.edu
[2010.02.02 08:36:12 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.01.14 18:27:26 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.14 18:27:26 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.14 18:27:26 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.14 18:27:26 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.14 18:27:26 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2005.09.09 12:59:49 | 000,000,849 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 212.202.231.141 benntecmail
O2 - BHO: (HelperObject Class) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll (TechSmith Corporation)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (SnagIt) - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll (TechSmith Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O4 - HKLM..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe (Alpha Networks Inc.)
O4 - HKLM..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.)
O4 - HKLM..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe (D-Link)
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [owlyyhgq] C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe ()
O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe (Apple Inc.)
O4 - HKLM..\Run: [vptray] C:\Programme\Symantec_Client_Security\Symantec AntiVirus\VPTray.exe (Symantec Corporation)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [owlyyhgq] C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk = C:\Programme\Digital Line Detect\DLG.exe (BVRP Software)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 83 FF FF 03  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSharedDocuments =  [binary data]
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253123535671 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1253123509671 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\biblioscape - No CLSID value found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: GinaDLL - (SGGINA.DLL) - C:\WINDOWS\System32\Sggina.dll (Utimaco Safeware AG)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\IntelWireless: DllName - C:\Programme\Intel\Wireless\Bin\LgNotify.dll - C:\Programme\Intel\Wireless\Bin\LgNotify.dll (Intel Corporation)
O20 - Winlogon\Notify\NavLogon: DllName - C:\WINDOWS\system32\NavLogon.dll - C:\WINDOWS\system32\NavLogon.dll ()
O20 - Winlogon\Notify\NotLog: DllName - SGLogEx.dll - C:\WINDOWS\System32\SGLogEx.dll (Utimaco Safeware AG)
O20 - Winlogon\Notify\SGLogNotification: DllName - SGLogNotification.dll - C:\WINDOWS\System32\SGLogNotification.dll (Utimaco Safeware AG)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.08.13 12:54:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.02.02 15:59:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\CSC
[2010.02.02 15:19:14 | 000,548,864 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\schnau\Desktop\OTL.exe
[2010.02.02 12:53:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Malwarebytes
[2010.02.02 12:53:37 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.02.02 12:53:35 | 000,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.02.02 12:53:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.02.02 12:53:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.02.02 10:48:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw
[2010.02.01 18:12:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\vlc
[2010.01.29 18:45:56 | 000,000,000 | ---D | C] -- C:\Programme\United Soft Media
[2010.01.29 16:52:44 | 000,188,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WINGDE.DLL
[2010.01.29 16:52:44 | 000,092,208 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WING.DLL
[2010.01.29 16:52:44 | 000,012,800 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System\WING32.DLL
[2010.01.29 16:52:44 | 000,006,736 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WINGDIB.DRV
[2010.01.29 16:52:44 | 000,005,024 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WINGPAL.WND
[2010.01.29 16:52:41 | 000,000,000 | ---D | C] -- C:\Programme\BIFAB_MM
[2010.01.28 06:36:44 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\schnau\Recent
[2010.01.28 06:26:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Eigene Dateien\Downloads
[2010.01.24 16:28:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\NFS Underground 2
[2010.01.24 16:28:02 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DirectX
[2010.01.24 15:23:25 | 000,691,696 | ---- | C] (Duplex Secure Ltd.) -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.01.24 15:23:13 | 000,000,000 | ---D | C] -- C:\Programme\DAEMON Tools Lite
[2010.01.24 15:22:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\DAEMON Tools Lite
[2010.01.24 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2010.01.24 08:05:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Eigene Dateien\SCi
[2010.01.24 07:58:49 | 000,000,000 | ---D | C] -- C:\Programme\SCi
[2009.09.28 12:39:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Temp
[2009.06.30 04:34:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.02.07 14:16:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2005.09.09 12:55:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Symantec
[2005.09.09 12:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2004.08.13 13:00:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2004.08.13 12:47:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2004.08.13 12:47:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[25 C:\Dokumente und Einstellungen\schnau\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\schnau\Eigene Dateien\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.02.02 15:59:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.02.02 15:55:58 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.02.02 15:55:56 | 006,291,456 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\NTUSER.DAT
[2010.02.02 15:55:56 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\schnau\ntuser.ini
[2010.02.02 15:48:52 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.02.02 15:19:14 | 000,548,864 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\schnau\Desktop\OTL.exe
[2010.02.02 14:44:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.02.02 12:53:40 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.02.01 18:10:55 | 000,000,691 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk
[2010.02.01 00:17:50 | 000,000,202 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.02.01 00:16:50 | 000,156,160 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.29 18:45:56 | 000,000,663 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Goldfinger IV.lnk
[2010.01.29 17:15:00 | 000,000,384 | ---- | M] () -- C:\WINDOWS\tasks\1-Click Maintenance.job
[2010.01.29 16:52:44 | 000,000,814 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\Ich lerne lesen 1.lnk
[2010.01.29 16:52:44 | 000,000,247 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.01.29 10:03:56 | 000,000,040 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2010.01.28 15:29:13 | 000,146,431 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\Unbenannt.xcf
[2010.01.28 15:29:13 | 000,009,080 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\.recently-used.xbel
[2010.01.28 06:26:56 | 000,846,521 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\regeln2006.pdf
[2010.01.24 16:25:23 | 000,001,809 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Need for Speed Underground 2.lnk
[2010.01.24 15:23:26 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.01.24 13:19:32 | 000,187,984 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\pfeile.xcf
[2010.01.24 07:58:49 | 000,000,683 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Desert Storm.lnk
[2010.01.24 00:18:56 | 000,041,472 | ---- | M] () -- C:\WINDOWS\schnau.pcb
[2010.01.23 15:44:58 | 001,139,286 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\robin_hood_8191.jpg
[2010.01.23 15:43:46 | 000,137,319 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\pfeile.jpg
[2010.01.23 15:17:06 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2010.01.21 06:10:16 | 000,000,095 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2010.01.20 18:45:47 | 000,000,017 | ---- | M] () -- C:\WINDOWS\Missing.ini
[2010.01.14 20:37:26 | 000,002,931 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2010.01.13 04:56:57 | 111,711,293 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Eigene Dateien\Typolight_Teil_04.flv
[2010.01.08 07:48:27 | 000,052,707 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\testbild.gif
[2010.01.07 16:07:14 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.07 16:07:04 | 000,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.06 16:21:33 | 000,000,160 | ---- | M] () -- C:\WINDOWS\mathe1.ini
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[25 C:\Dokumente und Einstellungen\schnau\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\schnau\Eigene Dateien\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.02.02 15:27:34 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\avenger.exe
[2010.02.02 12:53:40 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.02.01 18:10:55 | 000,000,691 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk
[2010.01.29 18:45:56 | 000,000,663 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Goldfinger IV.lnk
[2010.01.29 16:53:24 | 000,000,814 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\Ich lerne lesen 1.lnk
[2010.01.29 16:52:44 | 000,005,195 | ---- | C] () -- C:\WINDOWS\System32\DVA.386
[2010.01.28 15:29:13 | 000,009,080 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\.recently-used.xbel
[2010.01.28 06:26:55 | 000,846,521 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\regeln2006.pdf
[2010.01.24 16:25:23 | 000,001,809 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Need for Speed Underground 2.lnk
[2010.01.24 07:58:49 | 000,000,683 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Desert Storm.lnk
[2010.01.23 16:43:51 | 000,146,431 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\Unbenannt.xcf
[2010.01.23 16:43:33 | 000,187,984 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\pfeile.xcf
[2010.01.23 15:44:58 | 001,139,286 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\robin_hood_8191.jpg
[2010.01.23 15:43:46 | 000,137,319 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\pfeile.jpg
[2010.01.20 18:45:02 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2010.01.13 04:51:43 | 111,711,293 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Eigene Dateien\Typolight_Teil_04.flv
[2010.01.08 07:48:24 | 000,052,707 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\testbild.gif
[2010.01.06 16:21:33 | 000,000,160 | ---- | C] () -- C:\WINDOWS\mathe1.ini
[2010.01.06 16:20:58 | 000,284,160 | ---- | C] () -- C:\WINDOWS\unin0407.exe
[2009.12.07 15:34:42 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\TnetWCoInst.dll
[2009.04.09 16:00:53 | 000,000,550 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\AutoGK.ini
[2009.02.04 18:27:18 | 000,000,040 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2009.01.25 22:10:48 | 000,179,200 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.01.09 00:01:22 | 000,629,760 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.01.05 19:36:47 | 000,000,067 | ---- | C] () -- C:\WINDOWS\DVDRegionFreeLite.INI
[2008.12.14 22:37:09 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2008.11.03 21:22:49 | 000,112,688 | ---- | C] () -- C:\WINDOWS\System32\shw32.dll
[2008.08.19 23:43:35 | 000,000,058 | ---- | C] () -- C:\WINDOWS\my.ini
[2008.07.13 19:59:18 | 000,000,068 | ---- | C] () -- C:\WINDOWS\DVDRegionFree.INI
[2008.03.14 18:26:53 | 000,000,367 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2008.02.28 17:46:52 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.02.28 17:46:52 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2007.12.25 20:48:52 | 000,040,960 | ---- | C] () -- C:\WINDOWS\unS385N.dll
[2007.06.24 16:45:15 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2007.06.24 16:45:15 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2007.05.20 20:15:46 | 000,021,504 | ---- | C] () -- C:\WINDOWS\jestertb.dll
[2007.04.06 15:54:59 | 000,007,552 | ---- | C] () -- C:\WINDOWS\System32\drivers\enodpl.sys
[2007.04.06 15:54:59 | 000,004,736 | ---- | C] () -- C:\WINDOWS\System32\drivers\tandpl.sys
[2007.03.06 09:48:02 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.02.06 10:06:19 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\JJAKEn.dll
[2006.09.24 22:07:23 | 000,003,227 | ---- | C] () -- C:\WINDOWS\tm.ini
[2006.09.20 10:37:41 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2006.03.01 16:34:00 | 000,000,202 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2005.12.13 12:58:13 | 000,002,931 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2005.11.01 12:52:42 | 000,011,953 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2005.11.01 12:52:42 | 000,000,056 | RHS- | C] () -- C:\WINDOWS\System32\AB0FD8EF19.sys
[2005.10.19 09:12:40 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2005.09.14 22:13:36 | 000,156,160 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.09.13 22:30:56 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2005.09.09 15:15:31 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005.09.09 15:12:18 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2005.09.09 14:53:11 | 000,114,688 | ---- | C] () -- C:\WINDOWS\DVGRF.DLL
[2005.09.09 14:53:11 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\IMGMSGMO.dll
[2005.09.09 14:53:04 | 000,002,561 | ---- | C] () -- C:\WINDOWS\Tobit.ini
[2005.09.09 14:53:01 | 000,000,023 | ---- | C] () -- C:\WINDOWS\AVFD.INI
[2005.09.09 14:52:58 | 001,724,416 | ---- | C] () -- C:\WINDOWS\TOBITCLT.DLL
[2005.09.09 14:50:25 | 000,000,189 | -HS- | C] () -- C:\WINDOWS\ina32.ini
[2005.09.09 14:00:02 | 000,002,031 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.09.09 13:51:29 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\Iyvu9_32.dll
[2005.09.09 13:35:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\vpc32.INI
[2005.09.01 11:03:38 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.09.01 10:59:40 | 000,000,298 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2005.09.01 10:54:47 | 000,000,004 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QSLLPSVCShare
[2005.09.01 10:34:20 | 000,000,382 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2005.09.01 10:33:28 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\stac97co.dll
[2005.03.31 11:27:18 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\SGCleanLocalGPO.dll
[2005.02.22 13:01:32 | 000,024,576 | R--- | C] () -- C:\WINDOWS\System32\loaddlln.dll
[2004.08.13 23:24:57 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004.08.13 13:04:30 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004.08.13 12:51:43 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2004.08.13 12:40:26 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004.08.12 08:44:10 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\iwca.dll
[2002.07.30 10:33:00 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\NavLogon.dll
[2001.10.10 08:57:58 | 000,073,786 | ---- | C] () -- C:\WINDOWS\System32\dntvmc23.dll
[2001.10.10 08:57:58 | 000,061,497 | ---- | C] () -- C:\WINDOWS\System32\dntvm23.dll
[2001.03.07 08:02:30 | 000,229,431 | ---- | C] () -- C:\WINDOWS\System32\dnt23.dll
[1997.09.03 23:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL
[1997.09.03 23:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
[1997.09.03 23:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL
[1997.09.03 23:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
< End of report >

und das OTL-Log Extras.txt:

Code:

ATTFilter

OTL Extras logfile created on: 02.02.2010 18:11:14 - Run 1
OTL by OldTimer - Version 3.1.27.1     Folder = C:\Dokumente und Einstellungen\schnau\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 700,00 Mb Available Physical Memory | 68,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55,78 Gb Total Space | 10,62 Gb Free Space | 19,04% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 152,62 Gb Total Space | 36,11 Gb Free Space | 23,66% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MMK-SCHNAU2
Current User Name: schnau
Logged in as Administrator.
 
Current Boot Mode: SafeMode with Networking
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\FlashGet\flashget.exe" = C:\Programme\FlashGet\flashget.exe:*:Enabled:Flashget -- File not found
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour -- File not found
"C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe" = C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner -- File not found
"C:\Programme\Azureus\Azureus.exe" = C:\Programme\Azureus\Azureus.exe:*:Enabled:Azureus -- File not found
"C:\Programme\Kyodai Mahjongg 2006\kmj.exe" = C:\Programme\Kyodai Mahjongg 2006\kmj.exe:*:Enabled:Kyodai Mahjongg -- File not found
"C:\Dokumente und Einstellungen\schnau\Eigene Dateien\eclipse\eclipse.exe" = C:\Dokumente und Einstellungen\schnau\Eigene Dateien\eclipse\eclipse.exe:*:Enabled:eclipse -- File not found
"C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Temp\java_ee_sdk-5_04-windows.exe2\package\jre\bin\javaw.exe" = C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Temp\java_ee_sdk-5_04-windows.exe2\package\jre\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- File not found
"C:\Dokumente und Einstellungen\schnau\Eigene Dateien\Eclipse - 3.3 Europe\eclipse.exe" = C:\Dokumente und Einstellungen\schnau\Eigene Dateien\Eclipse - 3.3 Europe\eclipse.exe:*:Enabled:eclipse -- File not found
"C:\Programme\Java\jdk1.6.0_03\jre\bin\java.exe" = C:\Programme\Java\jdk1.6.0_03\jre\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\TmNationsForever\TmForever.exe" = C:\Programme\TmNationsForever\TmForever.exe:*:Enabled:TmForever -- File not found
"C:\Programme\Sony Ericsson\Sony Ericsson Media Manager 1.0\MediaManager.exe" = C:\Programme\Sony Ericsson\Sony Ericsson Media Manager 1.0\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.0 -- (Sony Creative Software Inc.)
"C:\Programme\EA GAMES\Die Schlacht um Mittelerde(tm)\game.dat" = C:\Programme\EA GAMES\Die Schlacht um Mittelerde(tm)\game.dat:*:Enabled:Die Schlacht um Mittelerde (tm) -- File not found
"C:\Programme\DNA\btdna.exe" = C:\Programme\DNA\btdna.exe:*:Enabled:DNA -- (BitTorrent, Inc.)
"C:\Programme\BitTorrent\bittorrent.exe" = C:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent -- File not found
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\xampp\apache\bin\apache.exe" = C:\xampp\apache\bin\apache.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\xampp\mysql\bin\mysqld.exe" = C:\xampp\mysql\bin\mysqld.exe:*:Enabled:mysqld -- ()
"C:\xampp\MercuryMail\mercury.exe" = C:\xampp\MercuryMail\mercury.exe:*:Enabled:Mercury/32 Core Processing Module v4.52 -- (David Harris)
"C:\Programme\Gemeinsame Dateien\XpressUpdate\XPressUpdate.exe" = C:\Programme\Gemeinsame Dateien\XpressUpdate\XPressUpdate.exe:*:Enabled:XPressUpdate -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Sparbuch 2009
"{043671DC-DE3A-4A5B-B7A2-34F7DF6F5523}" = Haufe iDesk-Browser
"{05B613D1-7BD6-4DFA-B54F-1758CD7D71ED}" = SQL Anywhere Studio 8
"{06BE8AFD-A8E2-4B63-BAE7-287016D16ACB}" = mSSO
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{0ECB59D5-A3FC-4D61-AD3B-6CE679B3F852}" = Java DB 10.2.2.0
"{0EFC6259-3AD8-4CD2-BC57-D4937AF5CC0E}" = Symantec AntiVirus Client
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1F528948-0E80-4C96-B455-DE4167CB1DF7}" = Energieverwaltung der internen Netzwerkkarte
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{25D24E84-64A9-40D2-85CF-540B1C4A6D52}" = Broadcom ASF Management Applications
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 11
"{2B7E4354-0492-460A-BDB1-1F59EE141025}" = AirPlus G
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{32A3A4F4-B792-11D6-A78A-00B0D0160030}" = Java(TM) SE Development Kit 6 Update 3
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B7458C7-3F03-4415-AC39-D51EDEACDCCC}" = Steuer 2007
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{3F92ABBB-6BBF-11D5-B229-002078017FBF}" = NetWaiting
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4360BB46-507E-4361-8DCB-4FF9BDC9907B}" = SnagIt 7
"{49D687E5-6784-431B-A0A2-2F23B8CC5A1B}" = mHlpDell
"{4C590030-7469-453E-8589-D15DA9D03F52}" = ANIWZCS2 Service
"{536521E3-389A-41B2-82E5-F61B95957CDF}" = SafeGuard® Easy 4.11.0
"{5B09BD67-4C99-46A1-8161-B7208CE18121}" = QuickTime
"{5C72622B-643D-4296-B57D-5D53D0C68509}" = Sony Ericsson Media Manager 1.0
"{64A77F14-0E08-4A97-A859-E93CFF428756}" = Broadcom Advanced Control Suite 2
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A}" = mCore
"{6FFFE74E-3FBD-4E2E-97F9-5E9A2A077626}" = mIWCA
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7B5CE976-C7A9-4E38-A7F3-6C8EF025DD8E}" = ANIO Service
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7F142D56-3326-11D5-B229-002078017FBF}" = Modem Helper
"{868D7896-99D4-4513-BC62-2B3AD3E24926}" = TuneUp Utilities 2006
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8B79684C-6DAC-438C-8F30-10DF65C2068F}" = Samsung Digital Camera
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8FE54D21-8254-4CCF-AEE0-066496AE43F4}" = Delta Force - Black Hawk Down
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{909F8EBC-EC7F-48FF-0085-475D818F0F31}" = Need for Speed Underground 2
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{99EB30EB-D089-4DD5-8110-B8F3F10D1953}" = Steuer Update 14.01
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver
"{9FB2CE8C-E86C-4368-B3C9-F472898F926E}" = Desert Storm
"{A30B27FF-8C79-424A-89B4-43AD712A41ED}" = Steuer 2005
"{A4E86B6A-6EEC-41FD-8960-26947F0E3353}" = Haufe iDesk-Service
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-1033-F400-7760-000000000001}" = Adobe Acrobat 6.0 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B535B621-5559-11DE-A7A1-005056806466}" = Google Earth Plugin
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}" = Apple Software Update
"{C5074CC4-0E26-4716-A307-960272A90040}" = QuickSet
"{CA9BAADB-C262-4E05-B2E2-CEE8CE9809EC}" = mToolkit
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC016F21-3970-11DE-B878-005056806466}" = Google Earth
"{E646DCF0-5A68-11D5-B229-002078017FBF}" = Digital Line Detect
"{E7608BA7-DD9E-44BF-864F-7F00DDB221C9}" = Goldfinger
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Alt-N ComAgent" = Alt-N ComAgent
"AntiVir PersonalEdition Classic" = Avira AntiVir Personal - Free Antivirus
"AnyDVD" = AnyDVD
"ATI Display Driver" = ATI Display Driver
"CNXT_MODEM_PCI_VEN_8086&DEV_24x6&SUBSYS_542214F1" = Conexant D110 MDC V.9x Modem
"Defraggler" = Defraggler
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DVD Shrink_is1" = DVD Shrink 3.2
"ffdshow_is1" = ffdshow [rev 1685] [2007-12-06]
"FileZilla" = FileZilla (remove only)
"FileZilla Client" = FileZilla Client 3.3.0.1
"FLV-Media Player" = FLV-Media Player 1.8
"HaaliMkx" = Haali Media Splitter
"HaufeReader" = HaufeReader
"Ich lerne lesen 1" = Ich lerne lesen 1
"ImgBurn" = ImgBurn
"Indeo® software" = Indeo® software
"InstallShield_{25D24E84-64A9-40D2-85CF-540B1C4A6D52}" = Broadcom ASF Management Applications
"InstallShield_{2B7E4354-0492-460A-BDB1-1F59EE141025}" = AirPlus G
"InstallShield_{64A77F14-0E08-4A97-A859-E93CFF428756}" = Broadcom Advanced Control Suite 2
"IrfanView" = IrfanView (remove only)
"IZArc 3.4.1.5_is1" = IZArc 3.4.1.5
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"Mozilla Thunderbird (2.0.0.23)" = Mozilla Thunderbird (2.0.0.23)
"Mp3tag" = Mp3tag v2.44
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"Notepad++" = Notepad++
"Office8.0" = Microsoft Office 97, Professional Edition
"ProInst" = Intel(R) PROSet/Wireless Software
"RealAlt_is1" = Real Alternative 1.48
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
"ST6UNST #1" = Schulungsdatenbank
"ST6UNST #2" = FuE
"ToolBookInstructor80" = ToolBook II Instructor 8.1
"Visual Studio 6.0 Enterprise Edition (deu)" = Microsoft Visual Studio 6.0 Enterprise Edition (Deutsch)
"VLC media player" = VLC media player 1.0.5
"WebPost" = Microsoft Web Publishing Wizard 1.53
"Winamp" = Winamp (nur entfernen)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = GIMP 2.6.6
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xampp" = XAMPP 1.6.8
"xp-AntiSpy" = xp-AntiSpy 3.94-1
"XviD MPEG4 Video Codec" = XviD MPEG4 Video Codec (remove only)
"XviD_is1" = XviD MPEG-4 Video Codec
"Zählen und Ordnen" = Zählen und Ordnen
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"BitTorrent DNA" = DNA
"Dropbox" = Dropbox
"Javalone - teh pwn Abalone" = Javalone - teh pwn Abalone
 
========== Last 10 Event Log Errors ==========
 
[ System Events ]
Error - 02.02.2010 10:59:43 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 10:59:43 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:00:01 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 02.02.2010 11:00:22 | Computer Name = MMK-SCHNAU2 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   APPDRV  avgio  avipbb  ElbyCDIO  Fips  intelppm  sptd  ssmdrv
 
Error - 02.02.2010 11:01:37 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:01:37 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:01:37 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:14:23 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:14:23 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:15:33 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
 
< End of report >

Auweiha, viel Zeug

Dann haben wir noch den Output von GMER. Hier war mir nicht ganz klar, an welcher Stelle Fragen zu verneinen waren, da kam keine Frage. GMER startet auch direkt im Reiter "rootkit/malware". Der erste Output ist:

Code:

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-02-02 18:52:57
Windows 5.1.2600 Service Pack 2
Running: fxi0k6gd.exe; Driver: C:\DOKUME~1\schnau\LOKALE~1\Temp\kwlcaaog.sys


---- Disk sectors - GMER 1.0.15 ----

Disk  \Device\Harddisk0\DR0  sector 00: rootkit-like behavior; 

---- EOF - GMER 1.0.15 ----

Nach dem erneuten Scan via "rootkit/Malware"-Reiter gab es folgendes Ergebnis:

Code:

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-02 19:00:12
Windows 5.1.2600 Service Pack 2
Running: fxi0k6gd.exe; Driver: C:\DOKUME~1\schnau\LOKALE~1\Temp\kwlcaaog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                              SGEFLT.SYS (PnP Disk Filter Driver/Utimaco Safeware AG)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                              SGEFLT.SYS (PnP Disk Filter Driver/Utimaco Safeware AG)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                              SGEFLT.SYS (PnP Disk Filter Driver/Utimaco Safeware AG)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x79 0x89 0x41 0x6A ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x70 0x89 0xC5 0xBC ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x7C 0xFE 0x04 0x90 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x85 0xF5 0xCD 0x37 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x70 0x89 0xC5 0xBC ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x7C 0xFE 0x04 0x90 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x3F 0xE2 0x89 0x55 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x70 0x89 0xC5 0xBC ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x7C 0xFE 0x04 0x90 ...

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                                               sector 00: rootkit-like behavior; 

---- EOF - GMER 1.0.15 ----

Öfff, viel Zeug, sorry.

Gruß
Marc

Chris4You · 02.02.2010, 20:57

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe
C:\WINDOWS\unin0407.exe
C:\WINDOWS\jestertb.dll
C:\WINDOWS\System32\JJAKEn.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe

Folders to delete:
C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O4 - HKCU..\Run: [owlyyhgq] C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;

Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Achtung! Vista und Win7-User müssen mbr.exe als "Administrator"
ausführen. Dazu muss die Console mit Adminrechten ausgestattet sein,
am Besten einen Link auf dem Desktop wie folgt erstellen:
Rechtsklick auf den Desktop, Neu-Verknüpfung erstellen, Ziel:
C:\Windows\System32\cmd.exe Name eingeben, Fertig.
Dann Rechtsklick auf die neu erstellte Verknüpfung und "Ausführen als
Administrator" auswählen, UAC und wie oben beschrieben in das
Verzeichnis wechseln und mbr.exe starten.

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

chris

Lobby · 02.02.2010, 21:38

Also ich habe das gleiche Problem und habe sowohl die OTL als auch die GMER Logs schon dabei. Vielleicht kann mir ja auch geholfen werden.

Hier erst einmal GMER

Code:

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-02 21:22:41
Windows 5.1.2600 Service Pack 3
Running: tdbz7je5.exe; Driver: H:\DOKUME~1\Johannes\LOKALE~1\Temp\uftdrfog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text   H:\WINDOWS\system32\drivers\edwzhaas.sys  section is writeable [0xF7648000, 0x2F40, 0xEC000040]
.reloc  H:\WINDOWS\system32\drivers\edwzhaas.sys  section is executable [0xF764EE60, 0x1E60, 0xEE000040]
?       H:\WINDOWS\system32\drivers\edwzhaas.sys  Zugriff verweigert

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs                    edwzhaas.sys
Device  \FileSystem\RAW \Device\RawTape           edwzhaas.sys
Device  \FileSystem\RAW \Device\RawDisk           edwzhaas.sys
Device  \FileSystem\RAW \Device\RawCdRom          edwzhaas.sys
Device  \FileSystem\Cdfs \Cdfs                    edwzhaas.sys

---- EOF - GMER 1.0.15 ----

Und hier die beiden OTL
OTL normal

Code:

ATTFilter

OTL logfile created on: 02.02.2010 19:46:41 - Run 1
OTL by OldTimer - Version 3.1.27.1     Folder = H:\Dokumente und Einstellungen\Johannes\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 84,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 97,00% Paging File free
Paging file location(s): H:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = H: | %SystemRoot% = H:\WINDOWS | %ProgramFiles% = H:\Programme
C: Drive not present or media not loaded
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 465,75 Gb Total Space | 409,47 Gb Free Space | 87,92% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
 
Computer Name: NIX-69981CA297D
Current User Name: Johannes
Logged in as Administrator.
 
Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Processes (SafeList) ==========
 
PRC - [2010.02.02 19:23:08 | 000,548,864 | ---- | M] (OldTimer Tools) -- H:\Dokumente und Einstellungen\Johannes\Eigene Dateien\Downloads\OTL.exe
PRC - [2010.01.07 03:07:37 | 000,908,248 | ---- | M] (Mozilla Corporation) -- H:\Programme\Mozilla Firefox\firefox.exe
PRC - [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- H:\WINDOWS\explorer.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.02.02 19:23:08 | 000,548,864 | ---- | M] (OldTimer Tools) -- H:\Dokumente und Einstellungen\Johannes\Eigene Dateien\Downloads\OTL.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (WMPNetworkSvc)
SRV - [2010.01.02 17:03:21 | 000,182,768 | ---- | M] (Google) [On_Demand | Stopped] -- H:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc)
SRV - [2009.10.27 16:04:08 | 000,031,744 | ---- | M] () [Auto | Stopped] -- H:\WINDOWS\system32\mssrv32.exe -- (msupdate)
SRV - [2009.10.27 09:26:36 | 000,657,408 | ---- | M] (Nokia) [On_Demand | Stopped] -- H:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2009.08.05 21:48:42 | 000,704,864 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- H:\Programme\Windows Live\Family Safety\fsssvc.exe -- (fsssvc)
SRV - [2009.07.25 04:23:10 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) [Auto | Stopped] -- H:\Programme\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009.07.18 11:31:39 | 000,133,104 | ---- | M] (Google Inc.) [Auto | Stopped] -- H:\Programme\Google\Update\GoogleUpdate.exe -- (gupdate) Google Update Service (gupdate)
SRV - [2009.03.17 13:24:06 | 000,161,632 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- H:\Programme\Microsoft LifeCam\MSCamS32.exe -- (MSCamSvc)
SRV - [2009.01.14 16:53:02 | 000,226,656 | ---- | M] (Microsoft Corp.) [Auto | Stopped] -- H:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe -- (SeaPort)
SRV - [2008.06.24 15:05:56 | 000,537,896 | ---- | M] (Nero AG) [On_Demand | Stopped] -- H:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2008.06.08 08:31:04 | 000,877,864 | ---- | M] (Nero AG) [Auto | Stopped] -- H:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe -- (Nero BackItUp Scheduler 3)
SRV - [2008.03.19 16:04:00 | 000,155,716 | ---- | M] (NVIDIA Corporation) [Auto | Stopped] -- H:\WINDOWS\system32\nvsvc32.exe -- (NVSvc)
SRV - [2006.12.19 09:30:26 | 000,081,920 | ---- | M] (Prolific Technology Inc.) [Auto | Stopped] -- H:\WINDOWS\system32\IoctlSvc.exe -- (PLFlash DeviceIoControl Service)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.11.14 01:49:00 | 000,043,528 | ---- | M] (Sonic Solutions) [Kernel | Boot | Running] -- H:\WINDOWS\System32\Drivers\PxHelp20.sys -- (PxHelp20)
DRV - [2009.10.31 15:49:44 | 000,040,128 | ---- | M] () [Kernel | Boot | Running] -- H:\WINDOWS\System32\Drivers\edwzhaas.sys -- (edwzhaas)
DRV - [2009.08.05 21:48:42 | 000,054,752 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Stopped] -- H:\WINDOWS\system32\drivers\fssfltr_tdi.sys -- (fssfltr)
DRV - [2009.03.17 13:24:08 | 001,964,816 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\VX3000.sys -- (VX3000)
DRV - [2009.02.09 07:37:48 | 000,007,808 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2008.08.06 16:12:10 | 004,755,968 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008.04.14 13:00:00 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008.04.14 13:00:00 | 000,020,480 | ---- | M] (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\secdrv.sys -- (Secdrv)
DRV - [2008.04.14 13:00:00 | 000,017,792 | ---- | M] (Parallel Technologies, Inc.) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\ptilink.sys -- (Ptilink)
DRV - [2008.04.13 23:15:38 | 000,026,112 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\usbser.sys -- (usbser)
DRV - [2008.04.13 23:15:14 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2008.03.19 16:04:00 | 007,086,240 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2008.01.03 21:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007.12.11 13:30:08 | 000,030,880 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA)
DRV - [2007.10.12 15:53:10 | 000,013,312 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\nvsmu.sys -- (nvsmu)
DRV - [2006.12.11 20:02:24 | 000,016,768 | ---- | M] (BIOSTAR Group) [Kernel | System | Stopped] -- H:\WINDOWS\system32\drivers\BS_I2cIo.sys -- (BS_I2cIo)
DRV - [2006.07.01 22:30:28 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Stopped] -- H:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2005.03.16 07:23:54 | 000,013,696 | R--- | M] (BIOSTAR Group) [Kernel | System | Stopped] -- H:\WINDOWS\system32\drivers\BIOS.sys -- (BIOS)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Bing"
FF - prefs.js..browser.search.defaulturl: "http://www.bing.com/search?FORM=IEFM1&q="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.6.5
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3971
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546
FF - prefs.js..keyword.URL: "http://www.bing.com/search?FORM=IEFM1&q="
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\bkmrksync@nokia.com: H:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: H:\Programme\Mozilla Firefox\components [2010.01.28 18:42:53 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: H:\Programme\Mozilla Firefox\plugins [2010.01.30 20:06:29 | 000,000,000 | ---D | M]
 
[2009.07.15 23:50:56 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Extensions
[2010.02.01 20:39:17 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\extensions
[2009.09.20 17:27:23 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2009.11.20 10:27:45 | 000,000,000 | ---D | M] (DownloadHelper) -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2009.08.28 20:56:20 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\extensions\moveplayer@movenetworks.com
[2009.09.24 15:15:28 | 000,002,171 | ---- | M] () -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\searchplugins\bing.xml
[2010.02.02 19:46:00 | 000,000,000 | ---D | M] -- H:\Programme\Mozilla Firefox\extensions
[2010.01.07 03:07:41 | 000,001,392 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.07 03:07:41 | 000,002,344 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.07 03:07:41 | 000,006,805 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.07 03:07:41 | 000,001,178 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.07 03:07:41 | 000,000,801 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 13:00:00 | 000,000,820 | ---- | M]) - H:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - H:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll (Microsoft Corp.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - H:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.)
O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - H:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - H:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - H:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - H:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - H:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Alcmtr] H:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [kfawkcue] H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe ()
O4 - HKLM..\Run: [LifeCam] H:\Programme\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation)
O4 - HKLM..\Run: [MS Virtual CLS] H:\WINDOWS\system32\msvmcls64.exe (YI58qmie7)
O4 - HKLM..\Run: [NBKeyScan] H:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] H:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] H:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] H:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] H:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [RTHDCPL] H:\WINDOWS\RTHDCPL.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [TkBellExe] H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [VX3000] H:\WINDOWS\vVX3000.exe (Microsoft Corporation)
O4 - HKCU..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] H:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe (Nero AG)
O4 - HKCU..\Run: [kfawkcue] H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe ()
O4 - HKCU..\Run: [swg] H:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O8 - Extra context menu item: Google Sidewiki... - H:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll (Google Inc.)
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - H:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui (Microsoft Corporation)
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - H:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui (Microsoft Corporation)
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - H:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - H:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: TaskMan - (H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe) - H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe (hAoWysDM0)
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-0970692394-9377730363-250308854-1723\windll.exe) - H:\RECYCLER\S-1-5-21-0970692394-9377730363-250308854-1723\windll.exe ()
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-0306697856-3225491246-342326368-7839\winncr.exe) - H:\RECYCLER\S-1-5-21-0306697856-3225491246-342326368-7839\winncr.exe ()
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-4895193801-6044875340-930976398-7121\windll.exe) - H:\RECYCLER\S-1-5-21-4895193801-6044875340-930976398-7121\windll.exe ()
O20 - HKCU Winlogon: Shell - (H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe) - H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe ()
O20 - HKCU Winlogon: Shell - (explorer.exe) - H:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe) - H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe (hAoWysDM0)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{6fbbe995-cb96-11de-9efb-00e04dc6ed69}\Shell\AutoRun\command - "" = hx.exe
O33 - MountPoints2\{6fbbe995-cb96-11de-9efb-00e04dc6ed69}\Shell\open\Command - "" = hx.exe
O33 - MountPoints2\{6fbbe996-cb96-11de-9efb-00e04dc6ed69}\Shell\AutoRun\command - "" = hx.exe
O33 - MountPoints2\{6fbbe996-cb96-11de-9efb-00e04dc6ed69}\Shell\open\Command - "" = hx.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.02.02 18:28:45 | 000,000,000 | ---D | C] -- H:\Programme\Trend Micro
[2010.02.02 00:32:28 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv
[2010.01.31 22:15:05 | 000,000,000 | ---D | C] -- H:\Programme\Gemeinsame Dateien\Symantec Shared
[2010.01.31 20:02:26 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
[2010.01.31 20:02:26 | 000,000,000 | ---D | C] -- H:\WINDOWS\System32\drivers\NSS
[2010.01.31 20:02:26 | 000,000,000 | ---D | C] -- H:\Programme\Norton Security Scan
[2010.01.31 20:02:26 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
[2010.01.31 20:02:26 | 000,000,000 | ---D | C] -- H:\WINDOWS\System32\drivers\NSS\0203000.02C
[2010.01.31 20:02:25 | 000,000,000 | ---D | C] -- H:\Programme\NortonInstaller
[2010.01.31 20:02:25 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
[2010.01.30 20:06:57 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\DivX
[2010.01.30 20:02:04 | 001,628,920 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxsfs.dll
[2010.01.30 20:02:04 | 000,551,672 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\px.dll
[2010.01.30 20:02:04 | 000,518,904 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxdrv.dll
[2010.01.30 20:02:04 | 000,379,640 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxwave.dll
[2010.01.30 20:02:04 | 000,187,128 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxmas.dll
[2010.01.30 20:02:04 | 000,129,784 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxafs.dll
[2010.01.30 20:02:04 | 000,120,056 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxcpyi64.exe
[2010.01.30 20:02:04 | 000,118,520 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxinsi64.exe
[2010.01.30 20:02:04 | 000,088,824 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\vxblock.dll
[2010.01.30 20:02:04 | 000,072,440 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxhpinst.exe
[2010.01.30 20:02:04 | 000,066,296 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxcpya64.exe
[2010.01.30 20:02:04 | 000,064,760 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxinsa64.exe
[2010.01.30 20:02:04 | 000,043,528 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\drivers\PxHelp20.sys
[2010.01.30 20:02:04 | 000,009,464 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\drivers\cdralw2k.sys
[2010.01.30 20:02:04 | 000,009,336 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\drivers\cdr4_xp.sys
[2010.01.30 20:01:47 | 000,000,000 | ---D | C] -- H:\Programme\Gemeinsame Dateien\DivX Shared
[2009.12.19 16:32:46 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.11.26 16:11:36 | 000,079,360 | RHS- | C] (hAoWysDM0) -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe
[2009.07.18 11:36:00 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.07.18 11:31:45 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.07.15 22:59:58 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.07.15 22:57:49 | 000,000,000 | --SD | M] -- H:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2009.07.15 22:57:49 | 000,000,000 | --SD | M] -- H:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
 
========== Files - Modified Within 30 Days ==========
 
[2010.02.02 19:45:09 | 000,002,048 | --S- | M] () -- H:\WINDOWS\bootstat.dat
[2010.02.02 19:24:55 | 000,000,006 | -H-- | M] () -- H:\WINDOWS\tasks\SA.DAT
[2010.02.02 19:24:54 | 003,670,016 | ---- | M] () -- H:\Dokumente und Einstellungen\Johannes\NTUSER.DAT
[2010.02.02 19:24:54 | 000,000,190 | -HS- | M] () -- H:\Dokumente und Einstellungen\Johannes\ntuser.ini
[2010.02.02 19:24:41 | 003,242,954 | -H-- | M] () -- H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.02.02 18:53:05 | 001,071,732 | ---- | M] () -- H:\WINDOWS\System32\PerfStringBackup.INI
[2010.02.02 18:53:05 | 000,459,932 | ---- | M] () -- H:\WINDOWS\System32\perfh007.dat
[2010.02.02 18:53:05 | 000,442,074 | ---- | M] () -- H:\WINDOWS\System32\perfh009.dat
[2010.02.02 18:53:05 | 000,085,232 | ---- | M] () -- H:\WINDOWS\System32\perfc007.dat
[2010.02.02 18:53:05 | 000,071,758 | ---- | M] () -- H:\WINDOWS\System32\perfc009.dat
[2010.02.02 18:48:59 | 000,001,088 | ---- | M] () -- H:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.02.02 18:48:58 | 000,160,101 | ---- | M] () -- H:\WINDOWS\System32\nvapps.xml
[2010.02.02 18:48:46 | 000,000,464 | ---- | M] () -- H:\WINDOWS\tasks\Norton Security Scan for Johannes.job
[2010.02.02 18:28:59 | 000,001,698 | ---- | M] () -- H:\Dokumente und Einstellungen\Johannes\Desktop\HijackThis.lnk
[2010.02.02 10:41:00 | 000,001,092 | ---- | M] () -- H:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.01.31 20:02:28 | 000,000,951 | ---- | M] () -- H:\Dokumente und Einstellungen\All Users\Desktop\Norton Security Scan.lnk
[2010.01.31 20:02:26 | 000,000,172 | ---- | M] () -- H:\WINDOWS\System32\drivers\NSS\0203000.02C\isolate.ini
[2010.01.31 16:51:08 | 003,670,016 | ---- | M] () -- H:\Dokumente und Einstellungen\Johannes\NTUSER.DAT.rdbkp
 
========== Files Created - No Company Name ==========
 
[2010.02.02 18:28:45 | 000,001,698 | ---- | C] () -- H:\Dokumente und Einstellungen\Johannes\Desktop\HijackThis.lnk
[2010.01.31 20:02:28 | 000,000,464 | ---- | C] () -- H:\WINDOWS\tasks\Norton Security Scan for Johannes.job
[2010.01.31 20:02:27 | 000,000,951 | ---- | C] () -- H:\Dokumente und Einstellungen\All Users\Desktop\Norton Security Scan.lnk
[2010.01.31 20:02:26 | 000,000,172 | ---- | C] () -- H:\WINDOWS\System32\drivers\NSS\0203000.02C\isolate.ini
[2009.11.20 22:49:55 | 000,070,656 | RHS- | C] () -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe
[2009.11.04 17:14:10 | 000,159,744 | ---- | C] () -- H:\WINDOWS\System32\xvidvfw.dll
[2009.11.04 17:14:09 | 000,561,152 | ---- | C] () -- H:\WINDOWS\System32\xvidcore.dll
[2009.11.04 17:14:09 | 000,135,168 | ---- | C] () -- H:\WINDOWS\System32\DVDIFOFilter.dll
[2009.10.31 15:49:44 | 000,040,128 | ---- | C] () -- H:\WINDOWS\System32\drivers\edwzhaas.sys
[2009.09.22 15:59:48 | 000,015,498 | ---- | C] () -- H:\WINDOWS\VX3000.ini
[2009.09.22 15:46:23 | 000,002,512 | ---- | C] () -- H:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.09.09 20:47:32 | 000,009,728 | ---- | C] () -- H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.08.31 17:25:56 | 000,027,648 | ---- | C] () -- H:\WINDOWS\System32\AVSredirect.dll
[2009.08.02 14:19:14 | 000,000,069 | ---- | C] () -- H:\WINDOWS\NeroDigital.ini
[2009.07.18 18:18:26 | 000,000,141 | ---- | C] () -- H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.07.16 14:16:04 | 000,000,048 | ---- | C] () -- H:\WINDOWS\ChssBase.ini
[2009.07.16 14:07:44 | 000,003,718 | ---- | C] () -- H:\WINDOWS\BWORKS95.INI
[2009.07.16 13:07:40 | 000,291,840 | ---- | C] () -- H:\Programme\Gemeinsame Dateien\PCSBoff.exe
[2009.07.16 13:07:40 | 000,090,112 | ---- | C] () -- H:\Programme\Gemeinsame Dateien\PCSBclean.exe
[2009.07.15 23:33:41 | 000,000,022 | ---- | C] () -- H:\WINDOWS\exchng.ini
[2009.07.15 23:33:40 | 000,000,634 | ---- | C] () -- H:\WINDOWS\ODBC.INI
[2008.03.19 16:04:00 | 001,703,936 | ---- | C] () -- H:\WINDOWS\System32\nvwdmcpl.dll
[2008.03.19 16:04:00 | 001,486,848 | ---- | C] () -- H:\WINDOWS\System32\nview.dll
[2008.03.19 16:04:00 | 001,019,904 | ---- | C] () -- H:\WINDOWS\System32\nvwimg.dll
[2008.03.19 16:04:00 | 000,466,944 | ---- | C] () -- H:\WINDOWS\System32\nvshell.dll
[2008.03.19 16:04:00 | 000,286,720 | ---- | C] () -- H:\WINDOWS\System32\nvnt4cpl.dll
[1997.09.03 23:00:00 | 000,031,232 | ---- | C] () -- H:\WINDOWS\System32\XLREC.DLL
[1997.09.03 23:00:00 | 000,025,600 | ---- | C] () -- H:\WINDOWS\System32\RECNCL.DLL
[1997.09.03 23:00:00 | 000,022,016 | ---- | C] () -- H:\WINDOWS\System32\ODBCSTF.DLL
[1997.09.03 23:00:00 | 000,022,016 | ---- | C] () -- H:\WINDOWS\System32\DOCOBJ.DLL
[1997.09.03 23:00:00 | 000,012,288 | ---- | C] () -- H:\WINDOWS\System32\VADE232.DLL
[1997.09.03 23:00:00 | 000,012,288 | ---- | C] () -- H:\WINDOWS\System32\HLINKPRX.DLL
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 699351 bytes -> H:\WINDOWS\Temp:temp
< End of report >

Und Extras

Code:

ATTFilter

OTL Extras logfile created on: 02.02.2010 19:46:41 - Run 1
OTL by OldTimer - Version 3.1.27.1     Folder = H:\Dokumente und Einstellungen\Johannes\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 84,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 97,00% Paging File free
Paging file location(s): H:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = H: | %SystemRoot% = H:\WINDOWS | %ProgramFiles% = H:\Programme
C: Drive not present or media not loaded
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 465,75 Gb Total Space | 409,47 Gb Free Space | 87,92% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
 
Computer Name: NIX-69981CA297D
Current User Name: Johannes
Logged in as Administrator.
 
Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- H:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "H:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "H:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
http [open] -- "H:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
https [open] -- "H:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "H:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "H:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "H:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "H:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"H:\Programme\MSN Messenger\livecall.exe" = H:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone) -- File not found
"H:\Programme\Windows Live\Messenger\wlcsdk.exe" = H:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"H:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = H:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"H:\Programme\RadioRipper\RadioRipper.exe" = H:\Programme\RadioRipper\RadioRipper.exe:*:Enabled:RadioRipper -- ( )
"H:\Programme\Microsoft LifeCam\LifeCam.exe" = H:\Programme\Microsoft LifeCam\LifeCam.exe:*:Enabled:LifeCam.exe -- (Microsoft Corporation)
"H:\Programme\Microsoft LifeCam\LifeEnC2.exe" = H:\Programme\Microsoft LifeCam\LifeEnC2.exe:*:Enabled:LifeEnC2.exe -- (Microsoft Corporation)
"H:\Programme\Microsoft LifeCam\LifeExp.exe" = H:\Programme\Microsoft LifeCam\LifeExp.exe:*:Enabled:LifeExp.exe -- (Microsoft Corporation)
"H:\Programme\Microsoft LifeCam\LifeTray.exe" = H:\Programme\Microsoft LifeCam\LifeTray.exe:*:Enabled:LifeTray.exe -- (Microsoft Corporation)
"H:\Programme\MSN Messenger\livecall.exe" = H:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone) -- File not found
"H:\Programme\Windows Live\Messenger\wlcsdk.exe" = H:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"H:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = H:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
"H:\Programme\Skype\Phone\Skype.exe" = H:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{135D3939-F9CD-4520-A008-9C4B852A2DBC}" = OneCare Advisor (Windows Live Toolbar)
"{13AD0F5B-FF8C-4625-851D-A83D4BE74716}" = Smart Menus (Windows Live Toolbar)
"{151ACDE2-C3AC-43AA-A77E-12A5D8B2A934}" = Popupblocker (Windows Live Toolbar)
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{195FF80D-6C1E-4B7A-A48E-45C0AEAC0F24}" = Microsoft LifeCam
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{22B099A6-55E1-4605-8401-05564320101C}" = Windows Live Outlook-Toolbar (Windows Live Toolbar)
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 15
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3A75BDE6-418E-4DB9-8601-C9E5225E0059}" = Feederkennung (Windows Live Toolbar)
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}" = Skype web features
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5D26BF7B-BEF6-477D-8FC1-0C1C159B6364}_is1" = Quicksys RegDefrag 2.3
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{6266BA75-45FA-4B1A-B21F-E04A90C273E5}" = Windows Live Toolbar-Erweiterung (Windows Live Toolbar)
"{664C3BDC-1BCF-4EA6-A127-E61430501031}" = Nero 8 Essentials
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6E0352EE-6F0D-4FBC-B1B8-4FF032C78BE0}" = PC Connectivity Solution
"{70B7A167-0B88-445D-A3EA-97C73AA88CAC}" = Windows Live Toolbar
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{7B08D306-7266-4647-A926-2F78817ED1E0}" = Microsoft Corporation
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{994223F3-A99B-4DDD-9E1D-0190A17C6860}" = Windows Live Family Safety
"{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}" = Microsoft Search Enhancement Pack
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.2 - Deutsch
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C084BC61-E537-11DE-8616-005056806466}" = Google Earth
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{DA2C339B-A405-439B-AD24-07765EF9F233}" = Browsen mit Registerkarten (Windows Live Toolbar)
"{DCE65B11-710D-4C54-9DE5-1A6A0BD2186B}" = Windows Live Favorites für Windows Live Toolbar
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E8626A59-FD0E-449C-A23A-C52FC0733629}" = BIOS Update
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"3B18191663CDFABAA2A93D4267E54D683153FF60" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"DesignCAD Pro 2000" = DesignCAD Pro 2000
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Free FLV to MP3 Converter_is1" = Free FLV to MP3 Converter
"HijackThis" = HijackThis 2.0.2
"IrfanView" = IrfanView (remove only)
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NSS" = Norton Security Scan
"NVIDIA Drivers" = NVIDIA Drivers
"Office8.0" = Microsoft Office 97, Professional Edition
"RealPlayer 12.0" = RealPlayer
"Revo Uninstaller" = Revo Uninstaller 1.83
"SUPER ©" = SUPER © Version 2009.bld.36 (June 10, 2009)
"Sweepi_is1" = Sweepi 5.4.00
"VLC media player" = VLC media player 1.0.1
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01007" = Microsoft User-Mode Driver Framework Feature Pack 1.7
"xp-AntiSpy" = xp-AntiSpy 3.97-3
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape add-in for Adobe Flash Player" = Octoshape add-in for Adobe Flash Player
"RadioRipper" = RadioRipper 1.1d BETA5
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.01.2010 13:41:05 | Computer Name = NIX-69981CA297D | Source = Google Update | ID = 20
Description = 
 
Error - 16.01.2010 17:07:08 | Computer Name = NIX-69981CA297D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wmplayer.exe, Version 11.0.5721.5145, fehlgeschlagenes
 Modul wmp.dll, Version 11.0.5721.5145, Fehleradresse 0x00171b3a.
 
Error - 01.02.2010 19:32:18 | Computer Name = NIX-69981CA297D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3642, fehlgeschlagenes
 Modul 3difr.x3d, Version 9.1.2.82, Fehleradresse 0x0001d96e.
 
[ System Events ]
Error - 02.02.2010 14:00:35 | Computer Name = NIX-69981CA297D | Source = DCOM | ID = 10010
Description = Der Server "{B1DBD568-80B2-43FA-AE07-76FB23AA4650}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 02.02.2010 14:01:05 | Computer Name = NIX-69981CA297D | Source = DCOM | ID = 10010
Description = Der Server "{B1DBD568-80B2-43FA-AE07-76FB23AA4650}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 02.02.2010 14:45:48 | Computer Name = NIX-69981CA297D | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 02.02.2010 14:46:22 | Computer Name = NIX-69981CA297D | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "fssfltr" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  AmdK8  BIOS  BS_I2cIo  Fips  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  Tcpip
 
 
< End of report >

Ich kenne mich da leider auch nicht sonderlich sehr gut aus aber lerne gerne dazu wenn man es mir erklärt.
Dies ist der Computer eines Freundes und ich habe keine Ahnung wo er sich dieses Programm Antivirus Software eingefangen hat. Das Ding ist echt nervig.

Grüße an alle
Lobby

Pyromir · 02.02.2010, 21:57

Hi,

die Liste ist wiederum abgearbeitet.
Die Virustotal-Ergebnisse für C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe:

Code:

ATTFilter

 Datei ciijdp.exe empfangen 2010.02.02 18:06:13 (UTC)
Status: Beendet
Ergebnis: 3/40 (7.50%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.50 	2010.02.02 	-
AhnLab-V3 	5.0.0.2 	2010.02.01 	-
AntiVir 	7.9.1.156 	2010.02.02 	-
Antiy-AVL 	2.0.3.7 	2010.02.02 	-
Authentium 	5.2.0.5 	2010.02.02 	-
Avast 	4.8.1351.0 	2010.02.02 	-
AVG 	9.0.0.730 	2010.02.02 	-
BitDefender 	7.2 	2010.02.02 	-
CAT-QuickHeal 	10.00 	2010.02.02 	-
ClamAV 	0.96.0.0-git 	2010.02.02 	-
Comodo 	3795 	2010.02.02 	-
DrWeb 	5.0.1.12222 	2010.02.02 	-
eSafe 	7.0.17.0 	2010.02.02 	-
eTrust-Vet 	35.2.7276 	2010.02.02 	-
F-Prot 	4.5.1.85 	2010.02.01 	-
F-Secure 	9.0.15370.0 	2010.02.02 	Suspicious:W32/Riskware!Online
Fortinet 	4.0.14.0 	2010.02.02 	-
GData 	19 	2010.02.02 	-
Ikarus 	T3.1.1.80.0 	2010.02.02 	-
Jiangmin 	13.0.900 	2010.02.02 	-
K7AntiVirus 	7.10.963 	2010.02.02 	-
Kaspersky 	7.0.0.125 	2010.02.02 	-
McAfee 	5880 	2010.02.02 	-
McAfee+Artemis 	5880 	2010.02.02 	-
McAfee-GW-Edition 	6.8.5 	2010.02.02 	-
Microsoft 	1.5406 	2010.02.02 	-
NOD32 	4829 	2010.02.02 	-
Norman 	6.04.03 	2010.02.02 	-
nProtect 	2009.1.8.0 	2010.02.02 	-
Panda 	10.0.2.2 	2010.02.02 	Suspicious file
PCTools 	7.0.3.5 	2010.02.02 	-
Prevx 	3.0 	2010.02.02 	High Risk Fraudulent Security Program
Rising 	22.33.01.04 	2010.02.02 	-
Sophos 	4.50.0 	2010.02.02 	-
Sunbelt 	3.2.1858.2 	2010.02.02 	-
TheHacker 	6.5.1.0.176 	2010.02.02 	-
TrendMicro 	9.120.0.1004 	2010.02.02 	-
VBA32 	3.12.12.1 	2010.02.02 	-
ViRobot 	2010.2.2.2168 	2010.02.02 	-
VirusBuster 	5.0.21.0 	2010.02.02 	-
weitere Informationen
File size: 279296 bytes
MD5   : c022d01e98095759696a35aa2269f37f
SHA1  : 8a9c46e164500b81797510f459b6fd8ae7dfa5b7
SHA256: 53f549dc4c512a200f957c2fe93915da8e97c1e54b3979dc2f66649335fb4fba
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x76910
timedatestamp.....: 0x4B66E429 (Mon Feb 1 15:24:41 2010)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x32000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x33000 0x44000 0x43C00 7.77 ec76cfbe82c1e542ff5fd240b1a0473e
.rsrc 0x77000 0x1000 0x200 3.43 2e99e5820ba00d6d5f72402ca4d0074b

( 3 imports )

> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> shlwapi.dll: UrlHashA
> user32.dll: EndPaint

( 0 exports )
TrID  : File type identification
UPX compressed Win32 Executable (42.6%)
Win32 EXE Yoda's Crypter (37.0%)
Win32 Executable Generic (11.8%)
Clipper DOS Executable (2.8%)
Generic Win/DOS Executable (2.7%)
ssdeep: 6144:JoZ1tvoTxu+LT8RUCeaMjaGEohLrqc146eT7RPQnW4TOn:iZ1tUZCeaMAohLrb1mTVPQWNn
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=234B279200927E16431B049E5161D00010FE5314
PEiD  : -
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
RDS   : NSRL Reference Data Set

Die Virustotal-Ergebnisse für die C:\WINDOWS\unin0407.exe

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.50	2010.02.02	-
AhnLab-V3	5.0.0.2	2010.02.01	-
AntiVir	7.9.1.156	2010.02.02	-
Antiy-AVL	2.0.3.7	2010.02.02	-
Authentium	5.2.0.5	2010.02.02	-
Avast	4.8.1351.0	2010.02.02	-
AVG	9.0.0.730	2010.02.01	-
BitDefender	7.2	2010.02.02	-
CAT-QuickHeal	10.00	2010.02.02	-
ClamAV	0.96.0.0-git	2010.02.02	-
Comodo	3790	2010.02.02	-
DrWeb	5.0.1.12222	2010.02.02	-
eSafe	7.0.17.0	2010.02.02	-
eTrust-Vet	35.2.7276	2010.02.02	-
F-Prot	4.5.1.85	2010.02.01	-
F-Secure	9.0.15370.0	2010.02.02	-
Fortinet	4.0.14.0	2010.02.02	-
GData	19	2010.02.02	-
Ikarus	T3.1.1.80.0	2010.02.02	-
Jiangmin	13.0.900	2010.02.02	-
K7AntiVirus	7.10.962	2010.02.01	-
Kaspersky	7.0.0.125	2010.02.02	-
McAfee	5879	2010.02.01	-
McAfee+Artemis	5879	2010.02.01	-
McAfee-GW-Edition	6.8.5	2010.02.02	-
Microsoft	1.5406	2010.02.02	-
NOD32	4827	2010.02.02	-
Norman	6.04.03	2010.02.02	-
nProtect	2009.1.8.0	2010.02.02	-
Panda	10.0.2.2	2010.02.01	-
PCTools	7.0.3.5	2010.02.02	-
Prevx	3.0	2010.02.02	-
Rising	22.33.01.04	2010.02.02	-
Sophos	4.50.0	2010.02.02	-
Sunbelt	3.2.1858.2	2010.02.02	-
TheHacker	6.5.1.0.176	2010.02.02	-
TrendMicro	9.120.0.1004	2010.02.02	-
VBA32	3.12.12.1	2010.02.01	-
ViRobot	2010.2.2.2168	2010.02.02	-
VirusBuster	5.0.21.0	2010.02.01	-
weitere Informationen
File size: 284160 bytes
MD5...: 7b26e3693d2bff085c371d3ba3d5d2e9
SHA1..: 3af0152af431eabc229584201f09da7b3198411c
SHA256: 480ac71b9e01dbdc55759e7e8ce3efa09f16c91b72eaf0039a92282bce97951f
ssdeep: 3072:dzRsqoEx/pMomc61C49P7qoAK810hFD7Zi2EJdmDkJfVcJE+o0LVxVruuPs
vTYdv:dF4+6HNTEnD5aJJLVHyRUdKM
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1a631
timedatestamp.....: 0x311a81ea (Thu Feb 08 23:06:18 1996)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1bdb8 0x1be00 5.88 4ee9934844fa7dcb15e93cad0fd09830
.bss 0x1d000 0xf50 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x1e000 0xc 0x200 0.18 438253ed69b3d56a6d95d1178239d4db
.data 0x1f000 0x1b0c 0x1c00 4.51 d290aa4c589c7523b219670f8e93a9fd
.idata 0x21000 0x1492 0x1600 5.28 20d617f9c15f89d10c7854690af84080
.rsrc 0x23000 0x2437c 0x24400 6.22 4d3bce065a8bd043924cb3c7a98142bf
.reloc 0x48000 0x1b42 0x1c00 6.24 f6918a6b3bca752a6bb6f5a52835e69b

( 6 imports )
> USER32.dll: OemToCharA, LoadBitmapA, ReleaseDC, GetWindowRect, GetClassNameA, BeginPaint, GetDC, EndPaint, SetWindowTextA, CharUpperA, CharLowerA, CreateDialogParamA, GetClientRect, SendMessageA, InvalidateRect, GetDlgItem, GetWindowTextA, EnableWindow, IsWindowVisible, SetFocus, ScreenToClient, CharNextA, InflateRect, SetRectEmpty, GetSystemMetrics, SetWindowPos, UpdateWindow, ShowWindow, DestroyWindow, wsprintfA, LoadStringA, MessageBeep, MessageBoxA, LoadIconA, LoadCursorA, RegisterClassA, CreateWindowExA, SetTimer, PeekMessageA, IsWindow, IsDialogMessageA, TranslateMessage, DispatchMessageA, KillTimer, SetRect, FillRect, CharToOemA, CharPrevA, PostQuitMessage, DefWindowProcA, ExitWindowsEx, FindWindowA, PostMessageA, RegisterWindowMessageA, DdeGetData, DdeFreeDataHandle, DdeConnect, DdeClientTransaction, DdeGetLastError, DdeDisconnect, DdeFreeStringHandle, DdeUninitialize, DdeInitializeA, DdeCreateStringHandleA, GetClassInfoA, GetWindowLongA, GetWindow, GetSysColor
> GDI32.dll: SetPixel, GetTextExtentPointA, DeleteObject, GetSystemPaletteEntries, CreatePalette, CreateDIBitmap, CreateBitmap, SetBkColor, CreatePen, MoveToEx, LineTo, CreateCompatibleBitmap, SaveDC, CreateSolidBrush, GetStockObject, Rectangle, RestoreDC, GetDeviceCaps, CreateCompatibleDC, SelectObject, BitBlt, DeleteDC, SelectPalette, RealizePalette, GetObjectA
> KERNEL32.dll: OpenFile, FindClose, GetFileTime, SetFileTime, GetStdHandle, GetCPInfo, GetOEMCP, GetACP, UnhandledExceptionFilter, RtlUnwind, ExitProcess, GetLocalTime, GetCommandLineA, GetEnvironmentStrings, GetStartupInfoA, GlobalHandle, GlobalCompact, GlobalReAlloc, GetCurrentDirectoryA, _llseek, FileTimeToDosDateTime, FileTimeToLocalFileTime, GetFileType, VirtualFree, GetModuleHandleA, WideCharToMultiByte, GetSystemInfo, GetTimeZoneInformation, SetEnvironmentVariableA, MultiByteToWideChar, WinExec, MoveFileExA, GetCurrentThread, GetCurrentProcess, lstrcmpA, CreateDirectoryA, GetDiskFreeSpaceA, GetLastError, FindNextFileA, SetCurrentDirectoryA, GetDriveTypeA, SetFileAttributesA, GetFileAttributesA, RemoveDirectoryA, GetTickCount, GetModuleFileNameA, lstrcpyA, IsDBCSLeadByte, FreeLibrary, GetProcAddress, LoadLibraryA, GetVersion, GlobalFree, GlobalUnlock, FreeResource, _lclose, _hwrite, CreateFileA, lstrcatA, GetWindowsDirectoryA, GlobalLock, GlobalAlloc, LockResource, SizeofResource, LoadResource, FindResourceA, _lread, LocalFileTimeToFileTime, SetErrorMode, lstrcmpiA, GetPrivateProfileStringA, lstrlenA, Sleep, GetSystemDirectoryA, FindFirstFileA, VirtualAlloc, CloseHandle, _lwrite, GetFileSize, SetEndOfFile, DosDateTimeToFileTime, SetFilePointer, ReadFile, WriteFile, DeleteFileA, MoveFileA
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> ADVAPI32.dll: RegDeleteValueA, RegCloseKey, RegQueryValueExA, LookupPrivilegeValueA, AdjustTokenPrivileges, OpenThreadToken, OpenProcessToken, GetTokenInformation, EqualSid, RegEnumValueA, RegOpenKeyA, InitializeSecurityDescriptor, RegSetValueExA, RegEnumKeyA, RegDeleteKeyA, RegCreateKeyExA, AllocateAndInitializeSid, SetSecurityDescriptorOwner, FreeSid
> comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: InstallShield setup (37.7%)
Win32 Executable MS Visual C++ (generic) (33.0%)
Windows Screen Saver (11.4%)
Win32 Executable Generic (7.4%)
Win32 Dynamic Link Library (generic) (6.6%)
sigcheck:
publisher....: Stirling Technologies, Inc.
copyright....: Copyright Stirling Technologies, Inc. 1990-1996 Phone : (847) 240-9111
product......: InstallShield Deinstaller
description..: InstallShield Deinstaller
original name: n/a
internal name: n/a
file version.: 2.20.913.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Die Virustotal-Ergebnisse für die C:\WINDOWS\jestertb.dll

Code:

ATTFilter

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.50 	2010.02.01 	-
AhnLab-V3 	5.0.0.2 	2010.02.01 	-
AntiVir 	7.9.1.156 	2010.02.01 	-
Antiy-AVL 	2.0.3.7 	2010.02.01 	-
Authentium 	5.2.0.5 	2010.01.31 	-
Avast 	4.8.1351.0 	2010.02.01 	-
AVG 	9.0.0.730 	2010.02.01 	-
BitDefender 	7.2 	2010.02.01 	-
CAT-QuickHeal 	10.00 	2010.02.01 	-
ClamAV 	0.96.0.0-git 	2010.02.01 	-
Comodo 	3785 	2010.02.01 	-
DrWeb 	5.0.1.12222 	2010.02.01 	-
eSafe 	7.0.17.0 	2010.02.01 	-
eTrust-Vet 	35.2.7274 	2010.02.01 	-
F-Prot 	4.5.1.85 	2010.01.31 	-
F-Secure 	9.0.15370.0 	2010.02.01 	-
Fortinet 	4.0.14.0 	2010.02.01 	-
GData 	19 	2010.02.01 	-
Ikarus 	T3.1.1.80.0 	2010.02.01 	-
Jiangmin 	13.0.900 	2010.01.28 	-
K7AntiVirus 	7.10.960 	2010.01.29 	-
Kaspersky 	7.0.0.125 	2010.02.01 	-
McAfee 	5879 	2010.02.01 	-
McAfee+Artemis 	5879 	2010.02.01 	-
McAfee-GW-Edition 	6.8.5 	2010.02.01 	-
Microsoft 	1.5406 	2010.02.01 	-
NOD32 	4824 	2010.02.01 	-
Norman 	6.04.03 	2010.02.01 	-
nProtect 	2009.1.8.0 	2010.02.01 	-
Panda 	10.0.2.2 	2010.02.01 	-
PCTools 	7.0.3.5 	2010.02.01 	-
Prevx 	3.0 	2010.02.01 	-
Rising 	22.33.00.04 	2010.02.01 	-
Sophos 	4.50.0 	2010.02.01 	-
Sunbelt 	3.2.1858.2 	2010.01.31 	-
Symantec 	20091.2.0.41 	2010.02.01 	-
TheHacker 	6.5.1.0.175 	2010.02.01 	-
TrendMicro 	9.120.0.1004 	2010.02.01 	-
VBA32 	3.12.12.1 	2010.02.01 	-
ViRobot 	2010.2.1.2166 	2010.02.01 	-
VirusBuster 	5.0.21.0 	2010.02.01 	-
weitere Informationen
File size: 21504 bytes
MD5   : 56df1b6c087d4b9c0ab2318f226d3040
SHA1  : a818c50a6a34260e42a73eebb1716df73f1532b2
SHA256: 3628e028f807787915691ea74041f9a93fa7fd0f2fe4d1175ad4fd117d00a2e5
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x47E8
timedatestamp.....: 0x2A425E19 (Sat Jun 20 00:22:17 1992)
machinetype.......: 0x14C (Intel I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x3840 0x3A00 6.40 4c599c8a273f8f705614b896d62f5594
DATA 0x5000 0xCC 0x200 1.94 db5a50cf900334485962b7400fdb11a7
BSS 0x6000 0x4ED 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x7000 0x662 0x800 3.79 ac16988faccf8105c91efe309c85dbfa
.edata 0x8000 0x53 0x200 0.84 7d4cbb52a330f2c41ab60e8bda77254f
.reloc 0x9000 0x3DC 0x400 6.46 0b5f1d46b1cd82755103843541193017
.rsrc 0xA000 0x600 0x600 3.27 6aa5035a3e7f0f62b5494d0c4fff9ca0

( 4 imports )

> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> kernel32.dll: GetCurrentThreadId, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, VirtualQuery, lstrlenA, lstrcpynA, lstrcpyA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
> oleaut32.dll: VariantCopyInd, VariantClear, SysFreeString, SysReAllocStringLen
> user32.dll: GetKeyboardType, MessageBoxA, CharNextA

( 1 exports )

> WhatsTheBuildNumber
TrID  : File type identification
Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=56df1b6c087d4b9c0ab2318f226d3040
ssdeep: 384:mWqCh+FKTIqxrEvsfZg6casm3k6sXARB3tVXuaUQQXHW:oFvqhEvsRg6casmXswRBvrU
PEiD  : -
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=56df1b6c087d4b9c0ab2318f226d3040
RDS   : NSRL Reference Data Set

Und die Virustotal-Ergebnisse für die C:\WINDOWS\System32\JJAKEn.dll

Code:

ATTFilter

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.50 	2010.01.19 	-
AhnLab-V3 	5.0.0.2 	2010.01.19 	-
AntiVir 	7.9.1.142 	2010.01.19 	-
Antiy-AVL 	2.0.3.7 	2010.01.19 	-
Authentium 	5.2.0.5 	2010.01.19 	-
Avast 	4.8.1351.0 	2010.01.19 	-
AVG 	9.0.0.730 	2010.01.19 	-
BitDefender 	7.2 	2010.01.19 	-
CAT-QuickHeal 	10.00 	2010.01.19 	-
ClamAV 	0.94.1 	2010.01.19 	-
Comodo 	3637 	2010.01.19 	-
DrWeb 	5.0.1.12222 	2010.01.19 	-
eSafe 	7.0.17.0 	2010.01.19 	-
eTrust-Vet 	35.2.7245 	2010.01.19 	-
F-Prot 	4.5.1.85 	2010.01.18 	-
F-Secure 	9.0.15370.0 	2010.01.19 	-
Fortinet 	4.0.14.0 	2010.01.19 	-
GData 	19 	2010.01.19 	-
Ikarus 	T3.1.1.80.0 	2010.01.19 	-
Jiangmin 	13.0.900 	2010.01.19 	-
K7AntiVirus 	7.10.950 	2010.01.18 	-
Kaspersky 	7.0.0.125 	2010.01.19 	-
McAfee 	5865 	2010.01.18 	-
McAfee+Artemis 	5865 	2010.01.18 	-
McAfee-GW-Edition 	6.8.5 	2010.01.19 	-
Microsoft 	1.5302 	2010.01.19 	-
NOD32 	4786 	2010.01.19 	-
Norman 	6.04.03 	2010.01.19 	-
nProtect 	2009.1.8.0 	2010.01.19 	-
Panda 	10.0.2.2 	2010.01.19 	-
PCTools 	7.0.3.5 	2010.01.19 	-
Prevx 	3.0 	2010.01.19 	-
Rising 	22.31.01.04 	2010.01.19 	-
Sophos 	4.49.0 	2010.01.19 	-
Sunbelt 	3.2.1858.2 	2010.01.19 	-
Symantec 	20091.2.0.41 	2010.01.19 	-
TheHacker 	6.5.0.6.156 	2010.01.19 	-
TrendMicro 	9.120.0.1004 	2010.01.19 	-
VBA32 	3.12.12.1 	2010.01.19 	-
ViRobot 	2010.1.19.2144 	2010.01.19 	-
VirusBuster 	5.0.21.0 	2010.01.19 	-
weitere Informationen
File size: 49152 bytes
MD5   : b9fecd748f2d0096bcf1da11579eba13
SHA1  : 01d8908429d05246376e5583c4c3f9ecba54b31c
SHA256: f37ec3159500335e7d252993a5aab4843e482f76f73549f05bb670b8b3d4fc2b
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2FD7
timedatestamp.....: 0x42F1ADAE (Thu Aug 4 07:54:54 2005)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2156 0x3000 5.10 1a458ddfe99621ff4c71fed02de4a2d6
.rdata 0x4000 0x40F1 0x5000 6.45 11f734264df7ef8af9d2ad2b9f8702f7
.data 0x9000 0x1314 0x1000 0.62 03c4d885938ccadd6c203aacc158c4ed
.rsrc 0xB000 0x350 0x1000 0.87 4401212d5935d81ad617a2e834011f44
.reloc 0xC000 0x340 0x1000 1.74 2b909f684e307632182942796b68ad6e

( 0 imports )


( 0 exports )
TrID  : File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=b9fecd748f2d0096bcf1da11579eba13
ssdeep: 768:HGs24q53dpPYxj/0Baho9S4AJKqBz8MZ2pHlA:me+3dpPY9/0N9S4A3spFA
PEiD  : Armadillo v1.xx - v2.xx
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b9fecd748f2d0096bcf1da11579eba13
RDS   : NSRL Reference Data Set

Der Avanger liefert Folgendes:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe" deleted successfully.
Folder "C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

und das mbr-Logfile spricht:

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully

Soweit, so bunt.

Gruß
Marc

Chris4You · 03.02.2010, 08:56

@Lobby:
Eigentlich einen neuen Thread eröffnen, sonst wird das zu unübersichtlich...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe
H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe
H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Der Rechner ist stark verseucht:

Zitat:

..
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-0970692394-9377730363-250308854-1723\windll.exe) - H:\RECYCLER\S-1-5-21-0970692394-9377730363-250308854-1723\windll.exe ()
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-0306697856-3225491246-342326368-7839\winncr.exe) - H:\RECYCLER\S-1-5-21-0306697856-3225491246-342326368-7839\winncr.exe ()
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-4895193801-6044875340-930976398-7121\windll.exe) - H:\RECYCLER\S-1-5-21-4895193801-6044875340-930976398-7121\windll.exe ()
O20 - HKCU Winlogon: Shell - (H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe) - H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe ()
O20 - HKCU Winlogon: Shell - (H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe) - H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe (hAoWysDM0)
..

daher
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Chris4You · 03.02.2010, 09:09

@Pyromir
Hi,

was macht der Rechner, kommen immer noch die Meldungen?
Date MAM ab und lasse es neu scannen, vorher bitte das hier versuchen durchzuführen:

Open-command für exe zurücksetzen
Speichere den nachfolgenden Text über den Editor (Start->Ausführen notepad)
auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT").
Dann mit Doppelklick auf die Datei ausführen, Abfrage abnicken!

Code:

ATTFilter

REGEDIT4

[HKEY_CLASSES_ROOT\exefile]
"EditFlags"=hex:d8,07,00,00
@="Anwendung"

[HKEY_CLASSES_ROOT\exefile\shell]
@=""

[HKEY_CLASSES_ROOT\exefile\shell\open]
@=""
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}]
@=""

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

Wenn das nicht geht, dann über eine INF-Datei:

Du kannst auch diese Datei heruterladen (unhookexec.inf)
http://www.mediafire.com/?9zu4hvgey11
Auf den Desktop speichern und dann mit rechte Maustaste/installieren waehlen.

oder

das hier in den Editor (Start->Zubehör->Editor) kopieren und als unhookexec.inf auf dem Desktop speichern.

Code:

ATTFilter

[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

Danach mit der rechte Maustaste/installieren waehlen.
Neu booten...

chris

Pyromir · 03.02.2010, 10:15

Moin Chris,

alles ist shiny.

Die Ausführung der SetExe.reg lief ohne Probleme durch, Kontrollscans ergeben exakt null Treffer, der Rechner läuft störungsfrei.

Herzlichen Dank für Deine Mühe! Wegen des angehängten Problems von Lobby ist es wahrscheinlich derzeit nicht sinnvoll, den Threat als "gelöst" zu markieren?

Aus der ganzen Aktion ergeben sich für mich noch drei Fragen:

Woher kam das rootkit? Ich mache ja sicherlich ab und an komische Sachen mit dem Computer, der Besuch fragwürdiger Websites gehört eher nicht dazu.
Kann es sein, dass das rootkit zeitverzögert zugeschlagen hat, also schon länger auf dem Rechner "lauerte"?
Ich werde mal in Ruhe versuchen, den Lösungsweg, vor allem die durch Dich erfolgte Identifizierung der schädlichen Dateien nachzuvollziehen. Hast Du da vielleicht einen Link zum Weiterlesen/Informieren? Dann besteht ja die Möglichkeit, dass ich in einigen dutzend Jahren auch mal helfen kann, falls jemand in Not gerät.

Gruß und nochmal vielen Dank,
Marc

Chris4You · 03.02.2010, 10:44

Hi,

die meisten Infektionen werden vom User selbst auf den Rechner geholt (KeyGens, Dateien aus "seltsamen" Quellen) und dann gibt es noch die große Anzahl von Drive-By-Downloads (dabei werden "normale" Webseiten gehackt und z. B. mit einem unsichtbaren IFrame "angereichert", die dann auf einen HackerServer umleiten wo aktiv Sicherheitslücken ausgenutzt werden). Du surfst vorbei, schaust die Seite an und im Hintergrund nimmt das Verhängis seinen Lauf... Unbemerkt installierst sich der Rootkit, lädt dann andere Sachen nach und das wars dann. Daher immer über einen Gastaccount (nicht mit Adminrechten) surfen, Browser am Besten in einer Sandbox (z.B. sandboxie) betreiben...

Ansonsten gehört viel Erfahrung dazu und einige Tools... Wobei das auch ein andauernder Lernprozess ist, da sich die Damen/Herren Hacker ja immer was neues einfallen lassen (und man dann wie der Ochs vor dem Berg steht und erstmal nichts "findet" [weil man nicht weis nach was man suchen soll]). Und mit der Zeit werden auch einige Tools wirkungslos, z.B. findet man in einem HJ-Log fast nichts mehr...

chris

Lobby · 03.02.2010, 22:53

Hi Chris
HAT WUNDERBAR FUNKTIONIERT!!!

Hier die Logfiles die du noch haben wolltest:

Datei 1

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.50	2010.02.03	Packed.Win32.Krap!IK
AhnLab-V3	5.0.0.2	2010.02.03	-
AntiVir	7.9.1.158	2010.02.03	TR/Agent.AN.17
Antiy-AVL	2.0.3.7	2010.02.03	-
Authentium	5.2.0.5	2010.02.03	W32/FraudLoad.A!Generic
Avast	4.8.1351.0	2010.02.02	-
AVG	9.0.0.730	2010.02.03	FakeAlert.PC
BitDefender	7.2	2010.02.03	-
CAT-QuickHeal	10.00	2010.02.03	(Suspicious) - DNAScan
ClamAV	0.96.0.0-git	2010.02.03	-
Comodo	3809	2010.02.03	TrojWare.Win32.Krap.an
DrWeb	5.0.1.12222	2010.02.03	-
eSafe	7.0.17.0	2010.02.03	-
eTrust-Vet	35.2.7278	2010.02.03	Win32/NewSoftSpot.A
F-Prot	4.5.1.85	2010.02.03	W32/FraudLoad.A!Generic
F-Secure	9.0.15370.0	2010.02.03	-
Fortinet	4.0.14.0	2010.02.03	-
GData	19	2010.02.03	Win32:Adware-gen
Ikarus	T3.1.1.80.0	2010.02.03	Packed.Win32.Krap
Jiangmin	13.0.900	2010.02.03	-
K7AntiVirus	7.10.966	2010.02.03	-
Kaspersky	7.0.0.125	2010.02.03	Packed.Win32.Krap.an
McAfee	5881	2010.02.03	FakeAlert-SpyPro.gen.b
McAfee+Artemis	5881	2010.02.03	FakeAlert-SpyPro.gen.b
McAfee-GW-Edition	6.8.5	2010.02.03	Heuristic.LooksLike.Trojan.FraudPack.I
Microsoft	1.5406	2010.02.03	Trojan:Win32/FakeSpypro
NOD32	4832	2010.02.03	Win32/Adware.SpywareProtect2009
Norman	6.04.03	2010.02.03	-
nProtect	2009.1.8.0	2010.02.03	-
Panda	10.0.2.2	2010.02.03	Trj/CI.A
PCTools	7.0.3.5	2010.02.03	-
Prevx	3.0	2010.02.03	High Risk Fraudulent Security Program
Rising	22.33.02.04	2010.02.03	-
Sophos	4.50.0	2010.02.03	Mal/FakeAV-BW
Sunbelt	3.2.1858.2	2010.02.03	-
TheHacker	6.5.1.0.179	2010.02.03	Trojan/FakeAv.gen
TrendMicro	9.120.0.1004	2010.02.03	TROJ_FAKEAV.BNI
VBA32	3.12.12.1	2010.02.03	-
ViRobot	2010.2.3.2170	2010.02.03	-
VirusBuster	5.0.21.0	2010.02.03	-
weitere Informationen
File size: 359424 bytes
MD5...: 4e5d5099e2b9c3d6a54422d5200de551
SHA1..: 2dba16bdc384b93b20114a2287bc281d9396393f
SHA256: 8d36e192ffa93f970eee9da81f420bbb01835feebc316b6315982d88d7b11d68
ssdeep: 6144:R9tWAFIz3EyyyiBneBGL50UElvxcLHazQwPZ9DO5yGX5:RTWAU3Eyyy4UGL
iNWLSQwx9CJp
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1a98
timedatestamp.....: 0x46b18d9a (Thu Aug 02 07:54:02 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ff0 0x2000 6.43 5a39f87b3d207b801c4ad4a741929b53
.rdata 0x3000 0x26fff 0x27000 6.19 a7def084ca42f365e6d1972daa20d835
.data 0x2a000 0x40265 0x2a000 6.02 69fde943ed269c73c947bca4f631f4f1
.idata 0x6b000 0x469e 0x4600 6.09 0fa5099d9d2b9e05d091b42f4141e163
.reloc 0x70000 0x1e9 0x200 4.95 7cc3b289afbdd6766d31f7daf2c0232b

( 6 imports )
> MSVCRT.dll: ceil, printf, __2@YAPAXI@Z, mbstowcs, _snwprintf, _wcsnicmp, iswalpha, _itow, _vsnwprintf, fwrite, memset, time, _wcsicmp, isspace, memmove, _vsnprintf, __set_app_type, iswctype, _wcsupr, wcsncpy, strrchr, _amsg_exit, srand, toupper
> RPCRT4.dll: RpcServerUseProtseqEpW, RpcBindingSetAuthInfoExW, RpcRaiseException, NdrCStdStubBuffer_Release, NdrStubForwardingFunction, RpcBindingVectorFree, CStdStubBuffer_DebugServerRelease, NdrCStdStubBuffer2_Release, UuidToStringW, UuidToStringA, UuidCreate, RpcStringBindingParseW, RpcBindingSetAuthInfoW, CStdStubBuffer_Connect, IUnknown_AddRef_Proxy, RpcServerUnregisterIf, NdrDllUnregisterProxy
> ole32.dll: StringFromIID, CoUnmarshalInterface, OleUninitialize, CoGetMalloc, OleLoadFromStream, CoGetObjectContext, CreateStreamOnHGlobal, OleRegGetMiscStatus, CoGetInterfaceAndReleaseStream, CoMarshalInterface, StgCreateDocfileOnILockBytes, StgOpenStorage, StringFromGUID2, CLSIDFromProgID, MkParseDisplayName, CoMarshalInterThreadInterfaceInStream, CoRevertToSelf, CoTaskMemAlloc, CoCreateInstance, WriteClassStm, CoDisconnectObject, CreateDataAdviseHolder, GetHGlobalFromStream, ReadClassStm, CoRevokeClassObject
> KERNEL32.dll: GetVersionExA, DisableThreadLibraryCalls, GetCurrentThreadId, LocalFree, CreateProcessA, GetModuleHandleA, FileTimeToSystemTime, GetStringTypeA, DeleteFileW, lstrcmpiW, UnmapViewOfFile, DuplicateHandle, UnhandledExceptionFilter, FindFirstFileW, GetFileSize, GetWindowsDirectoryA, FormatMessageA, GetVersionExW, ExitProcess, FileTimeToLocalFileTime, HeapAlloc, GetConsoleOutputCP, GetFullPathNameW, RaiseException, VirtualAlloc, InitializeCriticalSection, GetSystemTimeAsFileTime, GetCurrentProcessId
> USER32.dll: FindWindowA, GetWindowTextW, GetActiveWindow, CharUpperA, MessageBoxA, EndPaint, DispatchMessageA, GetSystemMetrics, GetWindowLongW, CallWindowProcW, ChangeMenuW, PostMessageW, IsChild, GetSystemMenu, CallWindowProcA, CharNextW, EnableMenuItem, InvalidateRect, GetWindowTextLengthW, SetWindowPos, DestroyWindow, MsgWaitForMultipleObjects, SetCapture, SendMessageA, GetFocus, wsprintfA, UnregisterClassW, DestroyMenu, MessageBeep, BeginPaint, IsIconic, DragObject, ClientToScreen
> ADVAPI32.dll: StartServiceW, RegQueryValueA, OpenThreadToken, GetSecurityDescriptorLength, GetSecurityDescriptorDacl, GetTraceEnableLevel, CopySid, IsValidSecurityDescriptor, RegDeleteValueW, ControlService, RegFlushKey, GetUserNameW, IsValidSid, CryptDestroyKey, RegOpenKeyW, RegEnumKeyExW, GetTokenInformation, RegOpenKeyA, RegSetValueW, OpenSCManagerA, QueryServiceStatus, RegDeleteValueA, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetAce, RegCreateKeyExA

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=49EB74B10045E6A47C2E05F9DFDE4E009147D7A8' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=49EB74B10045E6A47C2E05F9DFDE4E009147D7A8</a>
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (62.9%)
Win32 Executable Generic (14.2%)
Win32 Dynamic Link Library (generic) (12.6%)
Clipper DOS Executable (3.3%)
Generic Win/DOS Executable (3.3%)

Datei 2

Code:

ATTFilter

 Datei erpogs.exe empfangen 2010.02.03 21:15:09 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 35/40 (87.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.50	2010.02.03	Trojan.Win32.Pincav!IK
AhnLab-V3	5.0.0.2	2010.02.03	Win32/Krap.worm.79360
AntiVir	7.9.1.158	2010.02.03	TR/Crypt.ZPACK.Gen
Antiy-AVL	2.0.3.7	2010.02.03	Trojan/Win32.Pincav.gen
Authentium	5.2.0.5	2010.02.03	W32/Trojan2.KQOP
Avast	4.8.1351.0	2010.02.02	Win32:Malware-gen
AVG	9.0.0.730	2010.02.03	SHeur2.BUYN
BitDefender	7.2	2010.02.03	Gen:Trojan.Heur.Krap.eq0@aa@Qtcf
CAT-QuickHeal	10.00	2010.02.03	Trojan.Pincav.lpi
ClamAV	0.96.0.0-git	2010.02.03	Trojan.Agent-133740
Comodo	3809	2010.02.03	Heur.Suspicious
DrWeb	5.0.1.12222	2010.02.03	Trojan.Packed.688
eSafe	7.0.17.0	2010.02.03	Win32.TRCrypt.ZPACK
eTrust-Vet	35.2.7278	2010.02.03	-
F-Prot	4.5.1.85	2010.02.03	W32/Trojan2.KQOP
F-Secure	9.0.15370.0	2010.02.03	Worm:W32/Palevo.gen!I
Fortinet	4.0.14.0	2010.02.03	W32/Pincav.LPI!tr
GData	19	2010.02.03	Gen:Trojan.Heur.Krap.eq0@aa@Qtcf
Ikarus	T3.1.1.80.0	2010.02.03	Trojan.Win32.Pincav
Jiangmin	13.0.900	2010.02.03	Trojan/Pincav.axp
K7AntiVirus	7.10.966	2010.02.03	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2010.02.03	Trojan.Win32.Pincav.lpi
McAfee	5881	2010.02.03	Generic.dx!hhi
McAfee+Artemis	5881	2010.02.03	Generic.dx!hhi
McAfee-GW-Edition	6.8.5	2010.02.03	Trojan.Crypt.ZPACK.Gen
Microsoft	1.5406	2010.02.03	Trojan:Win32/Malagent
NOD32	4832	2010.02.03	Win32/Inject.NDA
Norman	6.04.03	2010.02.03	-
nProtect	2009.1.8.0	2010.02.03	Trojan/W32.Pincav.79360
Panda	10.0.2.2	2010.02.03	Generic Trojan
PCTools	7.0.3.5	2010.02.03	Trojan.Generic
Prevx	3.0	2010.02.03	Medium Risk Malware
Rising	22.33.02.04	2010.02.03	-
Sophos	4.50.0	2010.02.03	Mal/EncPk-MX
Sunbelt	3.2.1858.2	2010.02.03	Trojan.Win32.Generic!BT
TheHacker	6.5.1.0.179	2010.02.03	-
TrendMicro	9.120.0.1004	2010.02.03	-
VBA32	3.12.12.1	2010.02.03	Malware-Cryptor.Win32.Inject.gen
ViRobot	2010.2.3.2170	2010.02.03	Trojan.Win32.Pincav.79360
VirusBuster	5.0.21.0	2010.02.03	Trojan.Pincav.AII
weitere Informationen
File size: 79360 bytes
MD5...: b71802e57e9d15763da3f6552e44a40f
SHA1..: 1dc9ee9c086852135ee500bd99937d32a8a76e92
SHA256: 074f711c8377ce225b4564e83054800a7f22b3e6a4591c68c0244fd3625177b1
ssdeep: 1536:StkONvSpbw3dlXVIb208l7SOWhuPn+xFopUvJByGzv:SaI6pbKT+i0XhMPK
DJByGr
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x15af
timedatestamp.....: 0x4a9feec4 (Thu Sep 03 16:28:52 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x793a 0x7a00 7.32 35e1411bb95a7bf4bbccdc210336ae83
.rdata 0x9000 0x4ea 0x600 4.28 11d2f358057a8cdae351add8bb5375c8
.data 0xa000 0xaa88 0xac00 7.14 cdb582901598fb24d8cdb209ff5eadb9
.rsrc 0x15000 0x15000 0x600 4.70 569f93d96afdcfb7d2a6be1d03d2f5b5

( 5 imports )
> kernel32.dll: DeleteFileA, ExitProcess, GetCommandLineA, GetExitCodeProcess, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, GetTempPathW, GlobalLock, IsDebuggerPresent, LoadLibraryA, MapViewOfFile, OpenProcess, ResetEvent, SetLastError, TlsFree, VirtualAlloc, VirtualFree
> user32.dll: CreateWindowExA, EnableWindow, GetActiveWindow, GetSysColor, GetWindowLongA, LoadCursorA, PostQuitMessage, SetFocus
> gdi32.dll: CreateBitmap, GetWindowOrgEx, SetDIBColorTable
> shell32.dll: ExtractIconExW, FindExecutableW, SHAppBarMessage, SHBindToParent, SHChangeNotify, SHCreateDirectoryExA, SHGetSpecialFolderPathW, ShellExecuteExA
> comctl32.dll: ImageList_DragEnter, ImageList_GetIcon, PropertySheetA

( 0 exports )
RDS...: NSRL Reference Data Set
-
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=6672BF46001E192236D301FFC377C00063BFEAC2' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=6672BF46001E192236D301FFC377C00063BFEAC2</a>
pdfid.: -
trid..: Win32 Executable MS Visual C++ 4.x (85.8%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
Win16/32 Executable Delphi generic (1.3%)
Generic Win/DOS Executable (1.2%)
sigcheck:
publisher....: hAoWysDM0
copyright....: LzzS6afCP
product......: AWg9QBcd6
description..: nP7SuKDZU
original name: g3VMK87z1
internal name: RTFKkPNsp
file version.: 56WU0LfsO
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Datei 3

Code:

ATTFilter

 Datei oynnuf.exe empfangen 2010.02.03 21:26:43 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 36/40 (90%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 60 und 85 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.50	2010.02.03	Gen.Trojan!IK
AhnLab-V3	5.0.0.2	2010.02.03	Win-Trojan/Agentbypass.70656
AntiVir	7.9.1.158	2010.02.03	TR/Pincav.lfd
Antiy-AVL	2.0.3.7	2010.02.03	Trojan/Win32.Pincav.gen
Authentium	5.2.0.5	2010.02.03	W32/Trojan2.KQKP
Avast	4.8.1351.0	2010.02.02	Win32:Trojan-gen
AVG	9.0.0.730	2010.02.03	SHeur2.BTHO
BitDefender	7.2	2010.02.03	Trojan.Generic.2752212
CAT-QuickHeal	10.00	2010.02.03	Trojan.Pincav.lfd
ClamAV	0.96.0.0-git	2010.02.03	Worm.Palevo-609
Comodo	3809	2010.02.03	Heur.Suspicious
DrWeb	5.0.1.12222	2010.02.03	Trojan.MulDrop.55658
eSafe	7.0.17.0	2010.02.03	-
eTrust-Vet	35.2.7278	2010.02.03	Win32/AgentBypass.I
F-Prot	4.5.1.85	2010.02.03	W32/Trojan2.KQKP
F-Secure	9.0.15370.0	2010.02.03	Trojan.Generic.2752212
Fortinet	4.0.14.0	2010.02.03	W32/Pincav.LFD!tr
GData	19	2010.02.03	Trojan.Generic.2752212
Ikarus	T3.1.1.80.0	2010.02.03	Gen.Trojan
Jiangmin	13.0.900	2010.02.03	Trojan/Pincav.anv
K7AntiVirus	7.10.966	2010.02.03	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2010.02.03	Trojan.Win32.Pincav.lfd
McAfee	5881	2010.02.03	Generic.dx!hfb
McAfee+Artemis	5881	2010.02.03	Generic.dx!hfb
McAfee-GW-Edition	6.8.5	2010.02.03	Heuristic.BehavesLike.Win32.CodeInjection.H
Microsoft	1.5406	2010.02.03	Trojan:Win32/Malagent
NOD32	4832	2010.02.03	Win32/Inject.NDA
Norman	6.04.03	2010.02.03	W32/Malware.JZTJ
nProtect	2009.1.8.0	2010.02.03	Trojan/W32.Pincav.70656
Panda	10.0.2.2	2010.02.03	Trj/Pincav.E
PCTools	7.0.3.5	2010.02.03	Trojan.Generic
Prevx	3.0	2010.02.03	Medium Risk Malware
Rising	22.33.02.04	2010.02.03	-
Sophos	4.50.0	2010.02.03	Mal/Generic-A
Sunbelt	3.2.1858.2	2010.02.03	-
TheHacker	6.5.1.0.179	2010.02.03	Trojan/Pincav.ofy
TrendMicro	9.120.0.1004	2010.02.03	-
VBA32	3.12.12.1	2010.02.03	Trojan.Win32.Pincav.lfd
ViRobot	2010.2.3.2170	2010.02.03	Trojan.Win32.Pincav.70656
VirusBuster	5.0.21.0	2010.02.03	Trojan.Pincav.YV
weitere Informationen
File size: 70656 bytes
MD5...: e6245403c964cb83db5b5c1c81d926fe
SHA1..: f735260d17e1649da12212ef07a3afe6e09d12f1
SHA256: f6f9f9e86cba946c01c78084a727edca96d5b928b34fe61cb687a991ba1294ff
ssdeep: 1536:5snanjCW5IPKd5Zw1mCWyq0MszQwCI/M2:nd5ZGBW1szQwC4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13a0
timedatestamp.....: 0x4b0467bc (Wed Nov 18 21:31:40 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x63f4 0x6400 6.61 d2f8ab6ce97aae57421369a4f05b4284
.rdata 0x8000 0x1b84 0x1c00 5.47 75c52ad30d13f97d91fac4fd1d9f6d40
.data 0xa000 0x8064 0x8200 6.98 0e623d577e8f2faaf19f7fd15782b614
.reloc 0x13000 0xc60 0xe00 4.07 6323060fa4ca98461abceb10e9efb7e4

( 2 imports )
> USER32.dll: FindWindowA, GetWindowThreadProcessId
> KERNEL32.dll: CreateRemoteThread, OpenProcess, Sleep, VirtualAllocEx, GetModuleFileNameA, WriteProcessMemory, GetCommandLineA, GetStartupInfoA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetModuleHandleW, GetProcAddress, ExitProcess, WriteFile, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetLastError, GetEnvironmentStringsW, SetHandleCount, GetFileType, DeleteCriticalSection, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, HeapCreate, VirtualFree, HeapFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LeaveCriticalSection, EnterCriticalSection, LoadLibraryA, InitializeCriticalSectionAndSpinCount, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, HeapAlloc, VirtualAlloc, HeapReAlloc, RtlUnwind, HeapSize, GetLocaleInfoA, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=14D206E300EC085814DE0164319A8D0091651106' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=14D206E300EC085814DE0164319A8D0091651106</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=e6245403c964cb83db5b5c1c81d926fe' target='_blank'>http://www.threatexpert.com/report.aspx?md5=e6245403c964cb83db5b5c1c81d926fe</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

und hier die logfile aus Combofix .. leider habe ich blöderweise die erste die direkt nach dem Neustart kam wegeklickt .. ich dachte der speichert die automatisch .. habe dann Combofix nochmal drüberlaufen lassen und das hier kam dabei als logfile raus:

Code:

ATTFilter

ComboFix 10-02-03.04 - Johannes 03.02.2010  22:40:28.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1791.1382 [GMT 1:00]
ausgeführt von:: h:\dokumente und einstellungen\Johannes\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2010-01-03 bis 2010-02-03  ))))))))))))))))))))))))))))))
.

2010-02-02 17:28 . 2010-02-02 17:28	--------	d-----w-	h:\programme\Trend Micro
2010-01-31 21:15 . 2010-01-31 21:15	--------	d-----w-	h:\programme\Gemeinsame Dateien\Symantec Shared
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\windows\system32\drivers\NSS
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\programme\Norton Security Scan
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\programme\NortonInstaller
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2010-01-30 19:06 . 2010-01-30 19:06	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\DivX
2010-01-30 19:01 . 2010-01-30 19:06	--------	d-----w-	h:\programme\Gemeinsame Dateien\DivX Shared

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-03 21:38 . 2008-04-14 12:00	85232	----a-w-	h:\windows\system32\perfc007.dat
2010-02-03 21:38 . 2008-04-14 12:00	459932	----a-w-	h:\windows\system32\perfh007.dat
2010-01-30 20:49 . 2009-07-15 22:36	--------	d-----w-	h:\programme\DIFX
2010-01-30 20:48 . 2009-10-07 16:47	--------	d-----w-	h:\programme\Nokia
2010-01-30 20:48 . 2009-10-07 16:43	--------	d-----w-	h:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2010-01-29 19:34 . 2009-08-28 19:56	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Move Networks
2010-01-27 15:07 . 2009-09-22 14:07	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\vlc
2010-01-02 16:03 . 2009-07-18 10:31	--------	d-----w-	h:\programme\Google
2009-12-19 17:34 . 2009-09-07 20:11	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Skype
2009-12-19 15:37 . 2009-08-05 11:48	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\skypePM
2009-12-19 13:12 . 2009-10-07 16:48	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Nokia
2009-12-19 13:00 . 2009-12-19 13:00	--------	d-----w-	h:\programme\PC Connectivity Solution
2009-12-19 10:40 . 2009-12-19 10:40	--------	d-----w-	h:\programme\Windows Media Connect 2
2009-12-14 15:11 . 2009-10-27 13:39	--------	d-----w-	h:\programme\DesignCAD Pro 2000
2009-11-14 00:49 . 2010-01-30 19:02	9464	------w-	h:\windows\system32\drivers\cdralw2k.sys
2009-11-14 00:49 . 2010-01-30 19:02	9336	------w-	h:\windows\system32\drivers\cdr4_xp.sys
2009-11-14 00:49 . 2010-01-30 19:02	43528	------w-	h:\windows\system32\drivers\PxHelp20.sys
2009-11-14 00:49 . 2010-01-30 19:02	129784	------w-	h:\windows\system32\pxafs.dll
2009-11-14 00:49 . 2010-01-30 19:02	120056	------w-	h:\windows\system32\pxcpyi64.exe
2009-11-14 00:49 . 2010-01-30 19:02	118520	------w-	h:\windows\system32\pxinsi64.exe
2009-11-14 00:47 . 2009-11-14 00:47	90112	----a-w-	h:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47	856064	----a-w-	h:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47	856064	----a-w-	h:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47	847872	----a-w-	h:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47	843776	----a-w-	h:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47	839680	----a-w-	h:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47	696320	----a-w-	h:\windows\system32\DivX.dll
2004-07-30 07:56 . 2009-07-16 12:07	90112	----a-w-	h:\programme\Gemeinsame Dateien\PCSBclean.exe
2004-07-26 13:30 . 2009-07-16 12:07	291840	----a-w-	h:\programme\Gemeinsame Dateien\PCSBoff.exe
2006-05-03 09:06 . 2009-08-31 16:25	163328	--sh--r-	h:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-08-31 16:25	31232	--sh--r-	h:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-08-31 16:25	216064	--sh--r-	h:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-02-03_21.34.44   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-14 12:00 . 2010-02-03 21:34	71758              h:\windows\system32\perfc009.dat
+ 2008-04-14 12:00 . 2010-02-03 21:38	71758              h:\windows\system32\perfc009.dat
+ 2008-04-14 12:00 . 2010-02-03 21:38	442074              h:\windows\system32\perfh009.dat
- 2008-04-14 12:00 . 2010-02-03 21:34	442074              h:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="h:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]
"MsnMsgr"="h:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"swg"="h:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-02 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="h:\windows\system32\NvCpl.dll" [2008-03-19 13508608]
"nwiz"="nwiz.exe" [2008-03-19 1630208]
"NvMediaCenter"="h:\windows\system32\NvMcTray.dll" [2008-03-19 86016]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"NeroFilterCheck"="h:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-07-09 570664]
"NBKeyScan"="h:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"VX3000"="h:\windows\vVX3000.exe" [2009-03-17 721936]
"LifeCam"="h:\programme\Microsoft LifeCam\LifeExp.exe" [2009-03-17 157552]
"TkBellExe"="h:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-11-03 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93f261fc-7dce-4268-9edb-4c94f8afb899}"= "mscoree.dll" [2007-10-23 282112]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\edwzhaas.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"h:\\Programme\\RadioRipper\\RadioRipper.exe"=
"h:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"h:\\Programme\\Microsoft LifeCam\\LifeEnC2.exe"=
"h:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"h:\\Programme\\Microsoft LifeCam\\LifeTray.exe"=
"h:\\Programme\\Messenger\\msmsgs.exe"=
"h:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"h:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"h:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"h:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 edwzhaas;edwzhaas;h:\windows\system32\drivers\edwzhaas.sys [31.10.2009 15:49 40128]
R1 BIOS;BIOS;h:\windows\system32\drivers\BIOS.sys [15.07.2009 23:03 13696]
R1 BS_I2cIo;BS_I2cIo;h:\windows\system32\drivers\BS_I2cIo.sys [16.07.2009 12:28 16768]
R2 fssfltr;FssFltr;h:\windows\system32\drivers\fssfltr_tdi.sys [24.09.2009 15:13 54752]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;h:\windows\system32\drivers\nvhda32.sys [11.12.2007 13:30 30880]
S2 gupdate;Google Update Service (gupdate);h:\programme\Google\Update\GoogleUpdate.exe [18.07.2009 11:31 133104]
S3 fsssvc;Windows Live Family Safety-Dienst;h:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 21:48 704864]
.
Inhalt des "geplante Tasks" Ordners

2010-02-03 h:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- h:\programme\Google\Update\GoogleUpdate.exe [2009-07-18 10:31]

2010-02-03 h:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- h:\programme\Google\Update\GoogleUpdate.exe [2009-07-18 10:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: Google Sidewiki... - h:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: In neuer Registerkarte im Hintergrund öffnen - h:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?1c44b0cd83ac4ac88395020bfaa054a7
IE: In neuer Registerkarte im Vordergrund öffnen - h:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?1c44b0cd83ac4ac88395020bfaa054a7
FF - ProfilePath - h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - component: h:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: h:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: h:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: h:\programme\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-03 22:42
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2792)
h:\windows\system32\WPDShServiceObj.dll
h:\windows\system32\PortableDeviceTypes.dll
h:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-02-03  22:43:18
ComboFix-quarantined-files.txt  2010-02-03 21:43
ComboFix2.txt  2010-02-03 21:36

Vor Suchlauf: 6 Verzeichnis(se), 487.334.510.592 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 487.322.370.048 Bytes frei

- - End Of File - - 0EF56AAA4C09185D50C571A905955284

Chris4You · 04.02.2010, 07:46

Hi,

schade das Du das erste Log nicht erwischt hast, lt. dem zweiten Log von CF ist aber anscheinend alles erwischt worden...

Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop.
http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe

Doppelklick auf die SystemLook.exe, um das Tool zu starten.

Vista-User mit Rechtsklick und als Administrator starten.

Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code:

ATTFilter

:dir
C:\Qoobox

Klicke nun auf den Button Look, um den Scan zu starten.

Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Fullscan und alles bereinigen lassen! Log posten.

chris

Lobby · 04.02.2010, 19:32

Hi Chris

Ich habe hier das alte Log gefunden von dem ersten Combofix
Der war in diesem Ordner den ich suchen sollte.
Als ich MAM losgeschickt habe kamen von Antivir ca. 100 Meldungen .....

Hier aber ersteinaml die Logs

Code:

ATTFilter

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 19:27 on 04/02/2010 by Johannes (Administrator - Elevation successful)

========== dir ==========

H:\Qoobox - Parameters: "(none)"

---Files---
Add-Remove Programs.txt	--a--- 2693 bytes	[21:35 03/02/2010]	[21:42 03/02/2010]
ComboFix-quarantined-files.txt	--a--- 6720 bytes	[21:36 03/02/2010]	[21:43 03/02/2010]
ComboFix2.txt	--a--- 15106 bytes	[21:36 03/02/2010]	[21:36 03/02/2010]
SnapShot@2010-02-03_21.34.44.dat	--a--- 574978 bytes	[21:35 03/02/2010]	[21:35 03/02/2010]

---Folders---
BackEnv	d-----	[21:30 03/02/2010]
Quarantine	d-----	[21:29 03/02/2010]

-=End Of File=-

Code:

ATTFilter

ComboFix 10-02-03.04 - Johannes 03.02.2010  22:31:07.1.1 - x86 NETWORK
ausgeführt von:: h:\dokumente und einstellungen\Johannes\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

h:\dokumente und einstellungen\Johannes\Anwendungsdaten\erpogs.exe
h:\dokumente und einstellungen\Johannes\Anwendungsdaten\oynnuf.exe
h:\dokumente und einstellungen\Johannes\arrov.exe
h:\dokumente und einstellungen\Johannes\aumasd.exe
h:\dokumente und einstellungen\Johannes\bbc.exe
h:\dokumente und einstellungen\Johannes\bps.exe
h:\dokumente und einstellungen\Johannes\crykd.exe
h:\dokumente und einstellungen\Johannes\dfapu.exe
h:\dokumente und einstellungen\Johannes\dmd.exe
h:\dokumente und einstellungen\Johannes\eajuv.exe
h:\dokumente und einstellungen\Johannes\gbcti.exe
h:\dokumente und einstellungen\Johannes\gdnk.exe
h:\dokumente und einstellungen\Johannes\horyx.exe
h:\dokumente und einstellungen\Johannes\jinhtb.exe
h:\dokumente und einstellungen\Johannes\keftn.exe
h:\dokumente und einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv
h:\dokumente und einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe
h:\dokumente und einstellungen\Johannes\myslti.exe
h:\dokumente und einstellungen\Johannes\ncmoder.exe
h:\dokumente und einstellungen\Johannes\ndvqlxe.exe
h:\dokumente und einstellungen\Johannes\nljyh.exe
h:\dokumente und einstellungen\Johannes\nwrdsa.exe
h:\dokumente und einstellungen\Johannes\ostxam.exe
h:\dokumente und einstellungen\Johannes\pmi.exe
h:\dokumente und einstellungen\Johannes\qvescf.exe
h:\dokumente und einstellungen\Johannes\rgy.exe
h:\dokumente und einstellungen\Johannes\secupdat.dat
h:\dokumente und einstellungen\Johannes\tjefuj.exe
h:\dokumente und einstellungen\Johannes\tsuu.exe
h:\dokumente und einstellungen\Johannes\urjl.exe
h:\dokumente und einstellungen\Johannes\wlv.exe
h:\dokumente und einstellungen\Johannes\xlgkxlj.exe
h:\recycler\S-1-5-21-0306697856-3225491246-342326368-7839
h:\recycler\S-1-5-21-0970692394-9377730363-250308854-1723
h:\recycler\S-1-5-21-2144575703-7007786431-660522051-9065
h:\recycler\S-1-5-21-4895193801-6044875340-930976398-7121
h:\recycler\S-1-5-21-7896227253-8017681886-393964268-5384
h:\recycler\S-1-5-21-9024756728-7319527937-978167811-5889
h:\windows\system32\mssrv32.exe
h:\windows\system32\msvmcls64.exe
h:\windows\system32\secupdat.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSUPDATE
-------\Service_msupdate


(((((((((((((((((((((((   Dateien erstellt von 2010-01-03 bis 2010-02-03  ))))))))))))))))))))))))))))))
.

2010-02-02 17:28 . 2010-02-02 17:28	--------	d-----w-	h:\programme\Trend Micro
2010-01-31 21:15 . 2010-01-31 21:15	--------	d-----w-	h:\programme\Gemeinsame Dateien\Symantec Shared
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\windows\system32\drivers\NSS
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\programme\Norton Security Scan
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\programme\NortonInstaller
2010-01-31 19:02 . 2010-01-31 19:02	--------	d-----w-	h:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2010-01-30 19:06 . 2010-01-30 19:06	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\DivX
2010-01-30 19:01 . 2010-01-30 19:06	--------	d-----w-	h:\programme\Gemeinsame Dateien\DivX Shared

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-03 21:34 . 2008-04-14 12:00	85232	----a-w-	h:\windows\system32\perfc007.dat
2010-02-03 21:34 . 2008-04-14 12:00	459932	----a-w-	h:\windows\system32\perfh007.dat
2010-01-30 20:49 . 2009-07-15 22:36	--------	d-----w-	h:\programme\DIFX
2010-01-30 20:48 . 2009-10-07 16:47	--------	d-----w-	h:\programme\Nokia
2010-01-30 20:48 . 2009-10-07 16:43	--------	d-----w-	h:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2010-01-29 19:34 . 2009-08-28 19:56	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Move Networks
2010-01-27 15:07 . 2009-09-22 14:07	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\vlc
2010-01-02 16:03 . 2009-07-18 10:31	--------	d-----w-	h:\programme\Google
2009-12-19 17:34 . 2009-09-07 20:11	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Skype
2009-12-19 15:37 . 2009-08-05 11:48	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\skypePM
2009-12-19 13:12 . 2009-10-07 16:48	--------	d-----w-	h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Nokia
2009-12-19 13:00 . 2009-12-19 13:00	--------	d-----w-	h:\programme\PC Connectivity Solution
2009-12-19 10:40 . 2009-12-19 10:40	--------	d-----w-	h:\programme\Windows Media Connect 2
2009-12-14 15:11 . 2009-10-27 13:39	--------	d-----w-	h:\programme\DesignCAD Pro 2000
2009-11-14 00:49 . 2010-01-30 19:02	9464	------w-	h:\windows\system32\drivers\cdralw2k.sys
2009-11-14 00:49 . 2010-01-30 19:02	9336	------w-	h:\windows\system32\drivers\cdr4_xp.sys
2009-11-14 00:49 . 2010-01-30 19:02	43528	------w-	h:\windows\system32\drivers\PxHelp20.sys
2009-11-14 00:49 . 2010-01-30 19:02	129784	------w-	h:\windows\system32\pxafs.dll
2009-11-14 00:49 . 2010-01-30 19:02	120056	------w-	h:\windows\system32\pxcpyi64.exe
2009-11-14 00:49 . 2010-01-30 19:02	118520	------w-	h:\windows\system32\pxinsi64.exe
2009-11-14 00:47 . 2009-11-14 00:47	90112	----a-w-	h:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47	856064	----a-w-	h:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47	856064	----a-w-	h:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47	847872	----a-w-	h:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47	843776	----a-w-	h:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47	839680	----a-w-	h:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47	696320	----a-w-	h:\windows\system32\DivX.dll
2004-07-30 07:56 . 2009-07-16 12:07	90112	----a-w-	h:\programme\Gemeinsame Dateien\PCSBclean.exe
2004-07-26 13:30 . 2009-07-16 12:07	291840	----a-w-	h:\programme\Gemeinsame Dateien\PCSBoff.exe
2006-05-03 09:06 . 2009-08-31 16:25	163328	--sh--r-	h:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-08-31 16:25	31232	--sh--r-	h:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-08-31 16:25	216064	--sh--r-	h:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="h:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]
"MsnMsgr"="h:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"swg"="h:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-02 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="h:\windows\system32\NvCpl.dll" [2008-03-19 13508608]
"nwiz"="nwiz.exe" [2008-03-19 1630208]
"NvMediaCenter"="h:\windows\system32\NvMcTray.dll" [2008-03-19 86016]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"NeroFilterCheck"="h:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-07-09 570664]
"NBKeyScan"="h:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"VX3000"="h:\windows\vVX3000.exe" [2009-03-17 721936]
"LifeCam"="h:\programme\Microsoft LifeCam\LifeExp.exe" [2009-03-17 157552]
"TkBellExe"="h:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-11-03 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93f261fc-7dce-4268-9edb-4c94f8afb899}"= "mscoree.dll" [2007-10-23 282112]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\edwzhaas.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"h:\\Programme\\RadioRipper\\RadioRipper.exe"=
"h:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"h:\\Programme\\Microsoft LifeCam\\LifeEnC2.exe"=
"h:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"h:\\Programme\\Microsoft LifeCam\\LifeTray.exe"=
"h:\\Programme\\Messenger\\msmsgs.exe"=
"h:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"h:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"h:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"h:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 edwzhaas;edwzhaas;h:\windows\system32\drivers\edwzhaas.sys [31.10.2009 15:49 40128]
R1 BIOS;BIOS;h:\windows\system32\drivers\BIOS.sys [15.07.2009 23:03 13696]
R1 BS_I2cIo;BS_I2cIo;h:\windows\system32\drivers\BS_I2cIo.sys [16.07.2009 12:28 16768]
R2 fssfltr;FssFltr;h:\windows\system32\drivers\fssfltr_tdi.sys [24.09.2009 15:13 54752]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;h:\windows\system32\drivers\nvhda32.sys [11.12.2007 13:30 30880]
S2 gupdate;Google Update Service (gupdate);h:\programme\Google\Update\GoogleUpdate.exe [18.07.2009 11:31 133104]
S3 fsssvc;Windows Live Family Safety-Dienst;h:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 21:48 704864]
.
Inhalt des "geplante Tasks" Ordners

2010-02-03 h:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- h:\programme\Google\Update\GoogleUpdate.exe [2009-07-18 10:31]

2010-02-03 h:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- h:\programme\Google\Update\GoogleUpdate.exe [2009-07-18 10:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: Google Sidewiki... - h:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: In neuer Registerkarte im Hintergrund öffnen - h:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?1c44b0cd83ac4ac88395020bfaa054a7
IE: In neuer Registerkarte im Vordergrund öffnen - h:\programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?1c44b0cd83ac4ac88395020bfaa054a7
FF - ProfilePath - h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - component: h:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: h:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: h:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: h:\programme\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-kfawkcue - h:\dokumente und einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe
HKLM-Run-MS Virtual CLS - h:\windows\system32\msvmcls64.exe
HKLM-Run-kfawkcue - h:\dokumente und einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe
AddRemove-Windows Media Format Runtime - h:\programme\Windows Media Player\wmsetsdk.exe
AddRemove-{7585478E9D9B42108671C12F8714CEFE} - h:\programme\DivX\DivXConverterUninstall.exe
AddRemove-Octoshape add-in for Adobe Flash Player - h:\dokumente und einstellungen\Johannes\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
AddRemove-RadioRipper - h:\programme\RadioRipper\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-03 22:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1964)
h:\windows\system32\WPDShServiceObj.dll
h:\windows\system32\PortableDeviceTypes.dll
h:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
h:\programme\Java\jre6\bin\jqs.exe
h:\programme\Microsoft LifeCam\MSCamS32.exe
h:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
h:\windows\system32\nvsvc32.exe
h:\windows\system32\IoctlSvc.exe
h:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
h:\windows\system32\RUNDLL32.EXE
h:\windows\RTHDCPL.EXE
h:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
h:\windows\system32\wscntfy.exe
h:\\?\h:\windows\system32\WBEM\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-03  22:36:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-02-03 21:36

Vor Suchlauf: 6 Verzeichnis(se), 487.336.828.928 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 487.323.344.896 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
h:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 191A9B443162024F47541E59ADF0A440

Code:

ATTFilter

2010-02-03 21:35:53 . 2010-02-03 21:35:53              792 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\AddRemove-RadioRipper.reg.dat
2010-02-03 21:35:53 . 2010-02-03 21:35:53              770 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\AddRemove-Octoshape add-in for Adobe Flash Player.reg.dat
2010-02-03 21:35:53 . 2010-02-03 21:35:53            1,028 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\AddRemove-{7585478E9D9B42108671C12F8714CEFE}.reg.dat
2010-02-03 21:35:53 . 2010-02-03 21:35:53            1,016 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\AddRemove-Windows Media Format Runtime.reg.dat
2010-02-03 21:35:40 . 2010-02-03 21:35:40              198 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\HKLM-Run-kfawkcue.reg.dat
2010-02-03 21:35:40 . 2010-02-03 21:35:40              137 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\HKLM-Run-MS Virtual CLS.reg.dat
2010-02-03 21:35:39 . 2010-02-03 21:35:39              197 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\HKCU-Run-kfawkcue.reg.dat
2010-02-03 21:33:05 . 2010-02-03 21:33:05           26,278 ----a-w-  H:\Qoobox\Quarantine\H\WINDOWS\system32\_secupdat_.dat.zip
2010-02-03 21:33:03 . 2010-02-03 21:33:03           26,278 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\_secupdat_.dat.zip
2010-02-03 21:32:33 . 2010-02-03 21:32:33            1,110 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\Service_msupdate.reg.dat
2010-02-03 21:32:33 . 2010-02-03 21:32:33              856 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\Legacy_MSUPDATE.reg.dat
2010-02-03 21:32:27 . 2010-02-03 21:41:49            6,037 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-02-03 21:30:13 . 2010-02-03 21:40:00              612 ----a-w-  H:\Qoobox\Quarantine\catchme.log
2010-02-01 23:32:28 . 2010-02-01 23:31:49          359,424 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe.vir
2009-12-07 19:42:15 . 2009-12-07 21:41:26          235,008 ----a-w-  H:\Qoobox\Quarantine\H\WINDOWS\system32\msvmcls64.exe.vir
2009-11-26 15:11:36 . 2009-11-26 15:11:34           79,360 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe.vir
2009-11-25 22:45:03 . 2009-11-25 22:45:03           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\pmi.exe.vir
2009-11-25 15:11:00 . 2009-11-25 15:11:00           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\ostxam.exe.vir
2009-11-23 20:18:49 . 2009-11-23 20:18:49           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\nwrdsa.exe.vir
2009-11-23 11:02:57 . 2009-11-23 11:02:57           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\tjefuj.exe.vir
2009-11-23 10:07:05 . 2009-11-23 10:07:05           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\dmd.exe.vir
2009-11-22 21:46:35 . 2009-11-22 21:46:35           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\ndvqlxe.exe.vir
2009-11-22 11:40:48 . 2009-11-22 11:40:48           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\myslti.exe.vir
2009-11-22 11:31:43 . 2009-11-22 11:31:43           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\gbcti.exe.vir
2009-11-22 11:14:27 . 2009-11-22 11:14:27           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\dfapu.exe.vir
2009-11-22 00:21:06 . 2009-11-22 00:21:06           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\urjl.exe.vir
2009-11-22 00:07:50 . 2009-11-22 00:07:50           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\qvescf.exe.vir
2009-11-21 23:58:43 . 2009-11-21 23:58:43           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\bps.exe.vir
2009-11-21 23:49:39 . 2009-11-21 23:49:39           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\keftn.exe.vir
2009-11-21 23:40:35 . 2009-11-21 23:40:35           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\xlgkxlj.exe.vir
2009-11-21 23:31:32 . 2009-11-21 23:31:32           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\ncmoder.exe.vir
2009-11-21 23:20:55 . 2009-11-21 23:20:55           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\gdnk.exe.vir
2009-11-21 23:02:47 . 2009-11-21 23:02:47           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\aumasd.exe.vir
2009-11-21 22:17:22 . 2009-11-21 22:17:22           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\wlv.exe.vir
2009-11-21 20:08:02 . 2009-11-21 20:08:02           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\tsuu.exe.vir
2009-11-21 15:48:22 . 2009-11-21 15:48:22           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\nljyh.exe.vir
2009-11-21 12:52:21 . 2009-11-21 12:52:21           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\horyx.exe.vir
2009-11-21 11:46:31 . 2009-11-21 11:46:31           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\rgy.exe.vir
2009-11-21 09:09:02 . 2009-11-21 09:09:02           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\eajuv.exe.vir
2009-11-21 00:23:07 . 2009-11-21 00:23:07           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\bbc.exe.vir
2009-11-20 21:49:59 . 2009-11-20 21:49:59           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\crykd.exe.vir
2009-11-20 21:49:55 . 2009-11-20 21:49:55           70,656 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe.vir
2009-11-20 13:42:57 . 2009-11-20 13:42:57           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\jinhtb.exe.vir
2009-11-14 13:56:03 . 2009-11-14 13:56:03           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\arrov.exe.vir
2009-10-31 14:48:51 . 2009-10-31 14:48:51           42,496 ---ha-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\secupdat.dat.vir
2009-10-31 14:48:51 . 2009-10-31 14:48:51           42,496 ---ha-w-  H:\Qoobox\Quarantine\H\WINDOWS\system32\secupdat.dat.vir
2009-10-27 15:04:08 . 2009-10-27 15:04:08           31,744 ----a-w-  H:\Qoobox\Quarantine\H\WINDOWS\system32\mssrv32.exe.vir
2010-02-03 21:35:53 . 2010-02-03 21:35:53              792 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\AddRemove-RadioRipper.reg.dat
2010-02-03 21:35:53 . 2010-02-03 21:35:53              770 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\AddRemove-Octoshape add-in for Adobe Flash Player.reg.dat
2010-02-03 21:35:53 . 2010-02-03 21:35:53            1,028 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\AddRemove-{7585478E9D9B42108671C12F8714CEFE}.reg.dat
2010-02-03 21:35:53 . 2010-02-03 21:35:53            1,016 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\AddRemove-Windows Media Format Runtime.reg.dat
2010-02-03 21:35:40 . 2010-02-03 21:35:40              198 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\HKLM-Run-kfawkcue.reg.dat
2010-02-03 21:35:40 . 2010-02-03 21:35:40              137 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\HKLM-Run-MS Virtual CLS.reg.dat
2010-02-03 21:35:39 . 2010-02-03 21:35:39              197 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\HKCU-Run-kfawkcue.reg.dat
2010-02-03 21:33:05 . 2010-02-03 21:33:05           26,278 ----a-w-  H:\Qoobox\Quarantine\H\WINDOWS\system32\_secupdat_.dat.zip
2010-02-03 21:33:03 . 2010-02-03 21:33:03           26,278 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\_secupdat_.dat.zip
2010-02-03 21:32:33 . 2010-02-03 21:32:33            1,110 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\Service_msupdate.reg.dat
2010-02-03 21:32:33 . 2010-02-03 21:32:33              856 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\Legacy_MSUPDATE.reg.dat
2010-02-03 21:32:27 . 2010-02-03 21:41:49            6,037 ----a-w-  H:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-02-03 21:30:13 . 2010-02-03 21:40:00              612 ----a-w-  H:\Qoobox\Quarantine\catchme.log
2010-02-01 23:32:28 . 2010-02-01 23:31:49          359,424 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe.vir
2009-12-07 19:42:15 . 2009-12-07 21:41:26          235,008 ----a-w-  H:\Qoobox\Quarantine\H\WINDOWS\system32\msvmcls64.exe.vir
2009-11-26 15:11:36 . 2009-11-26 15:11:34           79,360 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe.vir
2009-11-25 22:45:03 . 2009-11-25 22:45:03           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\pmi.exe.vir
2009-11-25 15:11:00 . 2009-11-25 15:11:00           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\ostxam.exe.vir
2009-11-23 20:18:49 . 2009-11-23 20:18:49           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\nwrdsa.exe.vir
2009-11-23 11:02:57 . 2009-11-23 11:02:57           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\tjefuj.exe.vir
2009-11-23 10:07:05 . 2009-11-23 10:07:05           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\dmd.exe.vir
2009-11-22 21:46:35 . 2009-11-22 21:46:35           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\ndvqlxe.exe.vir
2009-11-22 11:40:48 . 2009-11-22 11:40:48           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\myslti.exe.vir
2009-11-22 11:31:43 . 2009-11-22 11:31:43           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\gbcti.exe.vir
2009-11-22 11:14:27 . 2009-11-22 11:14:27           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\dfapu.exe.vir
2009-11-22 00:21:06 . 2009-11-22 00:21:06           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\urjl.exe.vir
2009-11-22 00:07:50 . 2009-11-22 00:07:50           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\qvescf.exe.vir
2009-11-21 23:58:43 . 2009-11-21 23:58:43           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\bps.exe.vir
2009-11-21 23:49:39 . 2009-11-21 23:49:39           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\keftn.exe.vir
2009-11-21 23:40:35 . 2009-11-21 23:40:35           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\xlgkxlj.exe.vir
2009-11-21 23:31:32 . 2009-11-21 23:31:32           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\ncmoder.exe.vir
2009-11-21 23:20:55 . 2009-11-21 23:20:55           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\gdnk.exe.vir
2009-11-21 23:02:47 . 2009-11-21 23:02:47           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\aumasd.exe.vir
2009-11-21 22:17:22 . 2009-11-21 22:17:22           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\wlv.exe.vir
2009-11-21 20:08:02 . 2009-11-21 20:08:02           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\tsuu.exe.vir
2009-11-21 15:48:22 . 2009-11-21 15:48:22           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\nljyh.exe.vir
2009-11-21 12:52:21 . 2009-11-21 12:52:21           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\horyx.exe.vir
2009-11-21 11:46:31 . 2009-11-21 11:46:31           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\rgy.exe.vir
2009-11-21 09:09:02 . 2009-11-21 09:09:02           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\eajuv.exe.vir
2009-11-21 00:23:07 . 2009-11-21 00:23:07           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\bbc.exe.vir
2009-11-20 21:49:59 . 2009-11-20 21:49:59           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\crykd.exe.vir
2009-11-20 21:49:55 . 2009-11-20 21:49:55           70,656 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe.vir
2009-11-20 13:42:57 . 2009-11-20 13:42:57           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\jinhtb.exe.vir
2009-11-14 13:56:03 . 2009-11-14 13:56:03           12,800 ----a-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\arrov.exe.vir
2009-10-31 14:48:51 . 2009-10-31 14:48:51           42,496 ---ha-w-  H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\secupdat.dat.vir
2009-10-31 14:48:51 . 2009-10-31 14:48:51           42,496 ---ha-w-  H:\Qoobox\Quarantine\H\WINDOWS\system32\secupdat.dat.vir
2009-10-27 15:04:08 . 2009-10-27 15:04:08           31,744 ----a-w-  H:\Qoobox\Quarantine\H\WINDOWS\system32\mssrv32.exe.vir

Ach ja hier der von MAM

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3690
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

04.02.2010 19:32:58
mbam-log-2010-02-04 (19-32-58).txt

Scan-Methode: Vollständiger Scan (H:\|)
Durchsuchte Objekte: 141534
Laufzeit: 27 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 68

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\edwzhaas (Trojan.Agent) -> Delete on reboot.
HKEY_CURRENT_USER\Software\avsoft (Trojan.FakeAV) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\gbcti.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\nljyh.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\arrov.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\aumasd.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\bbc.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\bps.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\crykd.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\dfapu.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\dmd.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\eajuv.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\gdnk.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\horyx.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\jinhtb.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\keftn.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\myslti.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\ncmoder.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\ndvqlxe.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\nwrdsa.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\ostxam.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\pmi.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\qvescf.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\rgy.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\tjefuj.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\tsuu.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\urjl.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\wlv.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\xlgkxlj.exe.vir (Password.Stealer) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe.vir (Rogue.AntivirusSoft) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\WINDOWS\system32\mssrv32.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
H:\Qoobox\Quarantine\H\WINDOWS\system32\msvmcls64.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026166.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026184.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026164.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026165.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026167.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026168.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026169.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026170.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026171.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026172.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026173.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026174.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026175.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026176.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026177.exe (Rogue.AntivirusSoft) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026178.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026179.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026180.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026181.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026182.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026183.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026185.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026186.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026187.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026188.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026189.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026190.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026191.exe (Password.Stealer) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026192.exe (Trojan.Agent) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{4AEBAC9C-D24F-4330-A24B-FB05CA520240}\RP140\A0026193.exe (Trojan.Agent) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\drivers\edwzhaas.sys (Trojan.Agent) -> Delete on reboot.
H:\WINDOWS\system32\Drivers\ndisvvan.sys (Rootkit.Agent) -> Delete on reboot.
H:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> Delete on reboot.
H:\Dokumente und Einstellungen\All Users\secupdat.dat (Worm.Autorun) -> Delete on reboot.
H:\Dokumente und Einstellungen\Default User\secupdat.dat (Worm.Autorun) -> Delete on reboot.
H:\Dokumente und Einstellungen\Johannes\secupdat.dat (Worm.Autorun) -> Delete on reboot.
H:\Dokumente und Einstellungen\LocalService\secupdat.dat (Worm.Autorun) -> Delete on reboot.
H:\Dokumente und Einstellungen\NetworkService\secupdat.dat (Worm.Autorun) -> Delete on reboot.