BDS/Papras.PK [backdoor] in C:\WINDOWS\system32\lprdump.dll

ChristianHRO · 07.09.2010, 20:28

Hallo Helfer!

Nachdem ich heute den Rechner hochfuhr, meldete Avira folgenden Fund:

In der Datei 'C:\WINDOWS\system32\lprdump.dll'
wurde ein Virus oder unerwünschtes Programm 'BDS/Papras.PK' [backdoor] gefunden.

Die Datei zu löschen oder in Quarantäne zu schieben funktioniert nicht und nun hoffe ich, dass ihr mir weiter helfen könnt.

Ich habe danach die Anleitung hier gelesen und Malwarebyte (keine Funde) und OTL ausgeführt.

LOG Malwarebyte:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4563

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.09.2010 21:10:38
mbam-log-2010-09-07 (21-10-38).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 177737
Laufzeit: 12 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Danach habe ich entsprechend der Anleitung OTL verwendet und folgende Ausgaben wurden erzeugt:

OTL.txtOTL Logfile:

Code:

ATTFilter

OTL logfile created on: 07.09.2010 21:17:29 - Run 2
OTL by OldTimer - Version 3.2.11.0 Folder = C:\tmp
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 491,00 Mb Available Physical Memory | 48,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,79 Gb Total Space | 4,10 Gb Free Space | 3,67% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 123,69 Mb Total Space | 103,34 Mb Free Space | 83,55% Space Free | Partition Type: FAT
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: AMILO-EDDY
Current User Name: Christian
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\tmp\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\WINDOWS\system32\MSTMON_S.EXE (KONICA MINOLTA BUSINESS TECHNOLOGIES, INC.)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Adobe\Acrobat 8.0\Acrobat\acrotray.exe (Adobe Systems Inc.)
PRC - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.)
PRC - C:\WINDOWS\sm56hlpr.exe (Motorola Inc.)
PRC - C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\tmp\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (w39n51) Intel(R) -- C:\WINDOWS\system32\drivers\w39n51.sys (Intel® Corporation)
DRV - (iaStor) -- C:\WINDOWS\system32\DRIVERS\iaStor.sys (Intel Corporation)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation )
DRV - (smserial) -- C:\WINDOWS\system32\drivers\smserial.sys (Motorola Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (HdAudAddService) -- C:\WINDOWS\system32\drivers\Hdaudio.sys (Windows (R) Server 2003 DDK provider)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [KONICA MINOLTA magicolor 2400W STD] C:\WINDOWS\System32\MSTMON_S.EXE (KONICA MINOLTA BUSINESS TECHNOLOGIES, INC.)
O4 - HKLM..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies)
O4 - HKLM..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe (Motorola Inc.)
O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKCU..\Run: [VantagePointLite.exe] C:\Programme\Magellan\VantagePoint\VPLite\VantagePoint Lite.exe (Magellan Navigation, Inc.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: An vorhandenes PDF anfügen - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {41EF3CD2-D8CC-4438-84B1-280BB4E77C8E} https://gateway.siv.de/vdesk/terminal/f5tunsrv.cab#version=6031,2009,1204,1610 (F5 Networks Dynamic Application Tunnel Control)
O16 - DPF: {45B69029-F3AB-4204-92DE-D5140C3E8E74} https://gateway.siv.de/vdesk/terminal/InstallerControl.cab#version=6031,2009,1204,1613 (F5 Networks Auto Update)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} hxxp://download.divx.com/player/DivXBrowserPlugin.cab (DivXBrowserPlugin Object)
O16 - DPF: {6C275925-A1ED-4DD2-9CEE-9823F5FDAA10} https://gateway.siv.de/vdesk/terminal/urTermProxy.cab#version=6020,2009,0709,1003 (F5 Networks Static Application Tunnel Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E0FF21FA-B857-45C5-8621-F120A0C17FF2} https://gateway.siv.de/vdesk/terminal/urxhost.cab#version=6031,2009,1204,1604 (F5 Networks Host Control)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.07.13 08:03:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: cidautou - (C:\WINDOWS\system32\lprdump.dll) - C:\WINDOWS\system32\lprdump.dll ()
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.09.07 20:55:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Malwarebytes
[2010.09.07 20:55:26 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.09.07 20:55:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
[2010.09.07 20:55:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.09.07 20:55:19 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.08.22 11:29:04 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.08.20 21:28:19 | 000,000,000 | ---D | C] -- C:\Programme\Trillian
[2010.08.19 21:01:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\skypePM
[2010.08.19 21:00:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Skype
[2010.08.19 20:59:23 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2010.08.19 20:58:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
[2010.08.19 20:54:16 | 001,704,744 | ---- | C] (Skype Technologies S.A.) -- C:\Dokumente und Einstellungen\Christian\Desktop\SkypeSetup.exe
[2010.08.11 22:52:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christian\Desktop\plissee
[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.09.07 20:51:01 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.07 20:25:44 | 000,021,747 | ---- | M] () -- C:\WINDOWS\MSTMON_S.INI
[2010.09.07 20:24:06 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.09.07 20:23:14 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.07 20:23:11 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.09.07 20:23:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.09.07 20:22:03 | 006,029,312 | -H-- | M] () -- C:\Dokumente und Einstellungen\Christian\NTUSER.DAT
[2010.09.07 20:22:03 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Christian\ntuser.ini
[2010.09.07 20:21:56 | 002,110,212 | -H-- | M] () -- C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.09.07 20:16:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.09.05 23:10:04 | 000,039,068 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Desktop\DK.pdf
[2010.09.05 19:47:03 | 000,019,896 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.09.05 19:46:10 | 001,414,376 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.09.05 14:55:59 | 000,046,592 | ---- | M] () -- C:\WINDOWS\System32\lprdump.dll
[2010.09.03 20:13:28 | 000,031,831 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Desktop\schweden.pdf
[2010.09.03 20:11:34 | 000,013,281 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Desktop\schweden.docx
[2010.08.21 12:07:34 | 027,020,455 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Desktop\dosenfischer_podcast_127b.mp3
[2010.08.19 22:54:13 | 005,152,152 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Desktop\CIMG4430.JPG
[2010.08.19 21:01:02 | 000,000,056 | -H-- | M] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.08.19 20:59:25 | 000,001,872 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Skype.lnk
[2010.08.19 20:54:31 | 001,704,744 | ---- | M] (Skype Technologies S.A.) -- C:\Dokumente und Einstellungen\Christian\Desktop\SkypeSetup.exe
[2010.08.17 23:18:37 | 001,818,112 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Desktop\Personenkontensaldenliste 30.06.2010 (Testsystem) inkl. Anz.-Bereitstellung (Herr Schletter).xls
[2010.08.17 15:35:39 | 000,044,480 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Desktop\251a3a6f-6986-4440-a11c-a392262073d6.jpg
[2010.08.12 11:48:25 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.08.12 11:47:15 | 001,025,998 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.08.12 11:47:15 | 000,459,396 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.08.12 11:47:15 | 000,441,458 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.08.12 11:47:15 | 000,084,722 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.08.12 11:47:15 | 000,071,394 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.08.12 10:56:09 | 000,000,728 | ---- | M] () -- C:\Dokumente und Einstellungen\Christian\Desktop\GeocachingNetworkKML.kml
[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.09.05 23:10:04 | 000,039,068 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Desktop\DK.pdf
[2010.09.05 14:55:59 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\lprdump.dll
[2010.09.03 20:15:38 | 000,031,831 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Desktop\schweden.pdf
[2010.09.03 20:11:34 | 000,013,281 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Desktop\schweden.docx
[2010.08.21 12:07:31 | 027,020,455 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Desktop\dosenfischer_podcast_127b.mp3
[2010.08.19 22:53:01 | 005,152,152 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Desktop\CIMG4430.JPG
[2010.08.19 21:01:02 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.08.19 20:59:25 | 000,001,872 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Skype.lnk
[2010.08.17 23:18:36 | 001,818,112 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Desktop\Personenkontensaldenliste 30.06.2010 (Testsystem) inkl. Anz.-Bereitstellung (Herr Schletter).xls
[2010.08.17 15:42:13 | 000,044,480 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Desktop\251a3a6f-6986-4440-a11c-a392262073d6.jpg
[2010.01.16 15:36:02 | 002,463,976 | ---- | C] () -- C:\WINDOWS\System32\NPSWF32.dll
[2009.07.05 12:35:03 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.06.15 21:48:43 | 000,019,253 | ---- | C] () -- C:\WINDOWS\MSUMLT_S.ini
[2009.06.15 21:37:01 | 000,023,552 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.06.14 17:52:35 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56spn.dll
[2009.06.14 17:52:35 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56itl.dll
[2009.06.14 17:52:35 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56eng.dll
[2009.06.14 17:52:35 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56brz.dll
[2009.06.14 17:52:35 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56ger.dll
[2009.06.14 17:52:35 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56fra.dll
[2009.06.14 17:52:35 | 000,053,248 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll
[2009.06.14 17:52:35 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56cht.dll
[2009.06.14 17:52:35 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56chs.dll
[2009.06.14 17:41:54 | 000,000,142 | ---- | C] () -- C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.06.14 17:31:02 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2005.07.23 12:55:00 | 000,021,747 | ---- | C] () -- C:\WINDOWS\MSTMON_S.INI
[2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll
< End of report >

--- --- ---

EXTRAS.txtOTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 07.09.2010 21:17:29 - Run 2
OTL by OldTimer - Version 3.2.11.0 Folder = C:\tmp
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 491,00 Mb Available Physical Memory | 48,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,79 Gb Total Space | 4,10 Gb Free Space | 3,67% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 123,69 Mb Total Space | 103,34 Mb Free Space | 83,55% Space Free | Partition Type: FAT
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: AMILO-EDDY
Current User Name: Christian
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [CEWE FOTOSCHAU] -- "C:\Programme\OnlineFotoservice\OnlineFotoservice\CEWE FOTOSCHAU.exe" -d "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OnlineFotoservice] -- "C:\Programme\OnlineFotoservice\OnlineFotoservice\OnlineFotoservice.exe" "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\EA GAMES\Battlefield 2\BF2.exe" = C:\Programme\EA GAMES\Battlefield 2\BF2.exe:*:Enabled:Battlefield 2 -- ()
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0224CACC-994D-45F8-B973-D65056EA9C2F}" = Adobe XMP DVA Panels CS3
"{04858915-9F49-4B2A-AED4-DC49A7DE6A7B}" = Battlefield 2(TM)
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}" = Adobe WinSoft Linguistics Plugin
"{193EAFD0-1BAF-4FB4-B18F-79D5D6A4B285}" = Adobe After Effects CS3 Presets
"{1D21ED4F-3C5E-45C3-9795-8C8CB2AB31DC}" = VantagePoint
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{29E5EA97-5F74-4A57-B8B2-D4F169117183}" = Adobe Stock Photos CS3
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{411E0CC3-587A-468C-B461-95FAFD05E4DE}" = Adobe InDesign CS3
"{50D4CB89-AF34-4978-96DC-C3034062E901}" = Battlefield 2: Special Forces
"{523D8C1B-3309-4F8E-A15B-6C0E8A0B7D72}" = Groundspeak Wherigo Builder
"{54793AA1-5001-42F4-ABB6-C364617C6078}" = Adobe Linguistics CS3
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6ABE0BEE-D572-4FE8-B434-9E72A289431B}" = Adobe Fonts All
"{6B708481-748A-4EB4-97C1-CD386244FF77}" = Adobe MotionPicture Color Files
"{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}" = AHV content for Acrobat and Flash
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{73B5D990-04EA-4751-B10F-5534770B91F2}" = Adobe Color EU Recommended Settings
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7ACFB90E-8FD0-4397-AD3A-5195412623A3}" = Adobe Help Viewer CS3
"{845A8DB9-8802-4FD3-9FE3-938A6C46A2EC}" = Adobe Video Profiles
"{88D422DB-E9C7-4E16-9D80-2999F4FD6AD9}" = Adobe Flash Player 9 Plugin
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{90437E5F-0A9E-4B63-AD8B-D232897D18BF}" = ATI Parental Control & Encoder
"{913D0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Standard für Schüler, Studierende und Lehrkräfte
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{94FB906A-CF42-4128-A509-D353026A607E}" = REALTEK Gigabit and Fast Ethernet NIC Driver
"{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}" = iTunes
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A2D81E70-2A98-4A08-A628-94388B063C5E}" = Adobe Color - Photoshop Specific
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}" = PDF Settings
"{AC76BA86-1033-F400-7760-000000000003}" = Adobe Acrobat 8 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B671CBFD-4109-4D35-9252-3062D3CCB7B2}" = Adobe SING CS3
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B73CFB12-C814-4638-AFFD-7E3AAFAF0B4E}" = Adobe BridgeTalk Plugin CS3
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{BC4F8E84-5E29-49EC-B4E7-E6F9CB50986C}" = Adobe Flash Player 9 ActiveX
"{BE5F3842-8309-4754-92D5-83E02E6077A3}" = Adobe Extension Manager CS3
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}" = Apple Mobile Device Support
"{C5BD220A-EFE8-48A5-B70E-9503D535FACE}" = Adobe WAS CS3
"{C6A8BB79-7DA0-4EE1-964A-FF1A4F746B02}" = ATI Catalyst Control Center
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{C8D7A672-F697-4572-AC62-C856053A8DBC}" = Adobe Illustrator CS3
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{D3C605D8-3A5E-4BAD-965D-2C61441BF2AC}" = Adobe Photoshop CS3
"{D5A31AB1-345D-47C7-A87B-036A669F6DF1}" = Adobe XMP Panels CS3
"{DA896917-C1DA-45B2-B4D2-68162F16C0DD}" = Adobe Creative Suite 3 Master Collection
"{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}" = Adobe Color Common Settings
"{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}" = Adobe Color JA Extra Settings
"{DFFDDCF5-CB32-4354-8823-1B9E68025953}" = Adobe Setup
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EA7B3CC4-366D-4CF6-8350-FD7A7034116E}" = Adobe InDesign CS3 Icon Handler
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}" = Adobe Color NA Extra Settings
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"Adobe_67a7fb1e97aa14ee9ef0950eb6fd757" = Adobe Creative Suite 3 Master Collection hinzufügen oder entfernen
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"FLV Player" = FLV Player 2.0 (build 25)
"Google Updater" = Google Updater
"ie8" = Windows Internet Explorer 8
"InstallShield_{1D21ED4F-3C5E-45C3-9795-8C8CB2AB31DC}" = VantagePoint
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"IrfanView" = IrfanView (remove only)
"KONICA MINOLTA magicolor 2400W" = KONICA MINOLTA magicolor 2400W
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"OnlineFotoservice" = OnlineFotoservice
"SMSERIAL" = Motorola SM56 Data Fax Modem
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Totalcmd" = Total Commander (Remove or Repair)
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"ActiveTrader 4.14.7_b1" = ActiveTrader 4.14.7_b1
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 03.09.2010 12:57:15 | Computer Name = AMILO-EDDY | Source = ESENT | ID = 470
Description = Catalog Database (1272) Datenbank C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
wurde teilweise angehängt. Anhängungsstufe: 3. Fehler: -1032.
 
Error - 03.09.2010 18:01:24 | Computer Name = AMILO-EDDY | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 05.09.2010 05:03:48 | Computer Name = AMILO-EDDY | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 05.09.2010 13:32:35 | Computer Name = AMILO-EDDY | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung EXCEL.EXE, Version 10.0.2614.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 05.09.2010 13:38:45 | Computer Name = AMILO-EDDY | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung MSTMON_S.EXE, Version 1.3.701.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 05.09.2010 16:08:11 | Computer Name = AMILO-EDDY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung acrobat.exe, Version 8.1.0.137, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24001f55.
 
Error - 06.09.2010 01:04:55 | Computer Name = AMILO-EDDY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung itunes.exe, Version 8.2.1.6, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 06.09.2010 13:44:27 | Computer Name = AMILO-EDDY | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung acrobat.exe, Version 8.1.0.137, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x24001f55.
 
Error - 07.09.2010 14:17:10 | Computer Name = AMILO-EDDY | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 07.09.2010 14:26:14 | Computer Name = AMILO-EDDY | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application vantagepoint lite.exe, version 1.0.0.0, stamp
4bf660af, faulting module mscorwks.dll, version 2.0.50727.3615, stamp 4be902c7,
debug? 0, fault address 0x00097dda.
 
[ System Events ]
Error - 05.09.2010 13:31:32 | Computer Name = AMILO-EDDY | Source = System Error | ID = 1003
Description = Fehlercode 1000008e, 1. Parameter c0000005, 2. Parameter bf8548ac,
3. Parameter 9c716ae4, 4. Parameter 00000000.
 
Error - 05.09.2010 13:34:12 | Computer Name = AMILO-EDDY | Source = ati2mtag | ID = 52233
Description = CPLIB :: General - Failed to authenticate output protection
 
Error - 05.09.2010 13:38:09 | Computer Name = AMILO-EDDY | Source = Service Control Manager | ID = 7034
Description = Dienst "Gatewaydienst auf Anwendungsebene" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.
 
Error - 05.09.2010 13:38:20 | Computer Name = AMILO-EDDY | Source = Service Control Manager | ID = 7034
Description = Dienst "WMI-Leistungsadapter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
Error - 05.09.2010 13:38:29 | Computer Name = AMILO-EDDY | Source = Service Control Manager | ID = 7034
Description = Dienst "FLEXnet Licensing Service" wurde unerwartet beendet. Dies 
ist bereits 1 Mal passiert.
 
Error - 05.09.2010 13:46:35 | Computer Name = AMILO-EDDY | Source = ati2mtag | ID = 52233
Description = CPLIB :: General - Failed to authenticate output protection
 
Error - 06.09.2010 01:03:45 | Computer Name = AMILO-EDDY | Source = ati2mtag | ID = 52233
Description = CPLIB :: General - Failed to authenticate output protection
 
Error - 06.09.2010 13:02:49 | Computer Name = AMILO-EDDY | Source = ati2mtag | ID = 52233
Description = CPLIB :: General - Failed to authenticate output protection
 
Error - 07.09.2010 14:17:21 | Computer Name = AMILO-EDDY | Source = ati2mtag | ID = 52233
Description = CPLIB :: General - Failed to authenticate output protection
 
Error - 07.09.2010 14:24:00 | Computer Name = AMILO-EDDY | Source = ati2mtag | ID = 52233
Description = CPLIB :: General - Failed to authenticate output protection
 
 
< End of report >

--- --- ---

Nun hoffe ich, dass Ihr mir weiter helfen könnt.

Danke im Vorraus, Christian

cosinus · 08.09.2010, 14:20

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

ChristianHRO · 11.09.2010, 22:48

Hallo! Aufgrund der Zeit die der Vollscan braucht, hat es leider etwas länger gedauert. Ich hoffe das hilft jetzt weiter. Malwarebytes hat aber nichts gefunden.

Hier das Malwarebytes Vollscann Log:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4594

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.09.2010 23:42:49
mbam-log-2010-09-11 (23-42-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 482308
Laufzeit: 4 Stunde(n), 12 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 12.09.2010, 20:59

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O4 - HKLM..\Run: [] File not found
O36 - AppCertDlls: cidautou - (C:\WINDOWS\system32\lprdump.dll) - C:\WINDOWS\system32\lprdump.dll ()
[2010.09.05 14:55:59 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\lprdump.dll
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ChristianHRO · 12.09.2010, 21:35

Hallo Arne,

hier das Log:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\cidautou:C:\WINDOWS\system32\lprdump.dll deleted successfully.
C:\WINDOWS\system32\lprdump.dll moved successfully.
File C:\WINDOWS\System32\lprdump.dll not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
->Flash cache emptied: 499 bytes

User: All Users
->Flash cache emptied: 35 bytes

User: All Users.WINDOWS

User: Christian
->Temp folder emptied: 543604475 bytes
->Temporary Internet Files folder emptied: 316510946 bytes
->Java cache emptied: 57855047 bytes
->Flash cache emptied: 41248 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 499 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: Eddy

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 333357516 bytes
%systemroot% .tmp files removed: 2503692 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 158385765 bytes
RecycleBin emptied: 2354365363 bytes

Total Files Cleaned = 3.592,00 mb

OTL by OldTimer - Version 3.2.11.0 log created on 09122010_222533

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 12.09.2010, 21:47

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ChristianHRO · 13.09.2010, 20:33

Hallo, hier das Log von CF:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-09-12.04 - Christian 13.09.2010  21:18:31.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.630 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Christian\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Install.exe
C:\Thumbs.db
c:\windows\system32\Thumbs.db

.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-13 bis 2010-09-13  ))))))))))))))))))))))))))))))
.

2010-09-13 18:59 . 2010-09-13 18:59	--------	d-----w-	c:\programme\CCleaner
2010-09-12 20:25 . 2010-09-12 20:25	--------	d-----w-	C:\_OTL
2010-09-07 20:21 . 2010-09-07 20:21	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\PC Tools
2010-09-07 18:55 . 2010-09-07 18:55	--------	d-----w-	c:\dokumente und einstellungen\Christian\Anwendungsdaten\Malwarebytes
2010-09-07 18:55 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-07 18:55 . 2010-09-07 18:55	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-09-07 18:55 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-07 18:55 . 2010-09-07 18:55	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-20 19:28 . 2010-08-22 09:28	--------	d-----w-	c:\programme\Trillian
2010-08-19 19:01 . 2010-08-19 19:01	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2010-08-19 19:01 . 2010-08-30 19:52	--------	d-----w-	c:\dokumente und einstellungen\Christian\Anwendungsdaten\skypePM
2010-08-19 19:00 . 2010-08-30 21:13	--------	d-----w-	c:\dokumente und einstellungen\Christian\Anwendungsdaten\Skype
2010-08-19 18:59 . 2010-08-19 18:59	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2010-08-19 18:58 . 2010-08-19 18:59	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-05 17:52 . 2009-08-16 17:25	--------	d-----w-	c:\dokumente und einstellungen\Christian\Anwendungsdaten\ICQ
2010-09-05 17:47 . 2009-06-14 15:45	19896	----a-w-	c:\dokumente und einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-25 09:35 . 2010-01-16 13:58	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\FLEXnet
2010-08-22 09:29 . 2006-11-07 07:45	--------	d-----r-	c:\programme\Skype
2010-08-12 09:47 . 2004-08-04 12:00	84722	----a-w-	c:\windows\system32\perfc007.dat
2010-08-12 09:47 . 2004-08-04 12:00	459396	----a-w-	c:\windows\system32\perfh007.dat
2010-08-09 14:23 . 2009-07-27 18:44	--------	d-----w-	c:\dokumente und einstellungen\Christian\Anwendungsdaten\Apple Computer
2010-06-30 12:28 . 2004-08-04 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2005-10-06 03:08	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2005-05-10 00:17	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-04 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-19 39408]
"VantagePointLite.exe"="c:\programme\Magellan\VantagePoint\VPLite\VantagePoint Lite.exe" [2010-05-21 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-29 149280]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"RaidTool"="c:\programme\VIA\RAID\raid_tool.exe" [2005-08-12 1056768]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 557056]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"KONICA MINOLTA magicolor 2400W STD"="c:\windows\system32\MSTMON_S.EXE" [2009-06-15 184320]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.05.2009 13:18 108289]
S2 gupdate1c9f105e7c4f046;Google Update Service (gupdate1c9f105e7c4f046);c:\programme\Google\Update\GoogleUpdate.exe [19.06.2009 19:46 133104]
.
Inhalt des "geplante Tasks" Ordners

2010-09-13 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-19 17:44]

2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-06-19 17:46]

2010-09-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-06-19 17:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-09-13 21:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  RaidTool = c:\programme\VIA\RAID\raid_tool.exe???? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(908)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-09-13  21:26:41
ComboFix-quarantined-files.txt  2010-09-13 19:26

Vor Suchlauf: 48 Verzeichnis(se), 11.728.551.936 Bytes frei
Nach Suchlauf: 51 Verzeichnis(se), 11.804.835.840 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 3BAA93BDA2D46CC90D43AE4FD4F98086

--- --- ---

cosinus · 13.09.2010, 21:29

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

ChristianHRO · 14.09.2010, 20:55

GMER hat leider immer den Rechner eingefroren bzw. aufgehängt.

OSAM-Log

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
Online Solutions. Complex Protection for Information Systems
Saved at 21:47:35 on 14.09.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Google Software Updater.job" - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{67DABFBF-D0AB-41FA-9C46-CC0F21721616} "DivXBrowserPlugin Object" - "DivX,Inc." - C:\Programme\DivX\DivX Web Player\npdivx32.dll / hxxp://download.divx.com/player/DivXBrowserPlugin.cab
{45B69029-F3AB-4204-92DE-D5140C3E8E74} "F5 Networks Auto Update" - "F5 Networks" - C:\WINDOWS\Downloaded Program Files\Conflict.0\InstallerControl.dll / https://gateway.siv.de/vdesk/terminal/InstallerControl.cab#version=6031,2009,1204,1613
{41EF3CD2-D8CC-4438-84B1-280BB4E77C8E} "F5 Networks Dynamic Application Tunnel Control" - "F5 Networks" - C:\WINDOWS\Downloaded Program Files\TunnelServerX.dll / https://gateway.siv.de/vdesk/terminal/f5tunsrv.cab#version=6031,2009,1204,1610
{E0FF21FA-B857-45C5-8621-F120A0C17FF2} "F5 Networks Host Control" - "F5 Networks" - C:\WINDOWS\Downloaded Program Files\urxhost.dll / https://gateway.siv.de/vdesk/terminal/urxhost.cab#version=6031,2009,1204,1604
{6C275925-A1ED-4DD2-9CEE-9823F5FDAA10} "F5 Networks Static Application Tunnel Control" - "F5 Networks" - C:\WINDOWS\Downloaded Program Files\TunnelServerX.dll / https://gateway.siv.de/vdesk/terminal/urTermProxy.cab#version=6020,2009,0709,1003
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10d.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Christian\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"swg" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"VantagePointLite.exe" - "Magellan Navigation, Inc." - "C:\Programme\Magellan\VantagePoint\VPLite\VantagePoint Lite.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acrobat Assistant 8.0" - "Adobe Systems Inc." - "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ATICCC" - "ATI Technologies Inc." - "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"KONICA MINOLTA magicolor 2400W STD" - "KONICA MINOLTA BUSINESS TECHNOLOGIES, INC." - C:\WINDOWS\system32\MSTMON_S.EXE STARTUP
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"RaidTool" - "VIA Technologies" - C:\Programme\VIA\RAID\raid_tool.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate1c9f105e7c4f046)" (gupdate1c9f105e7c4f046) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit Online Solutions :: Index

bootkit_remover Ausgabe im Fenster:

(c) 2009 eSage Lab
esage lab - main

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
ATA_Read(): DeviceIoControl() ERROR 1
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Done;
Press any key to quit...

--

Muss ich mir wegen der Ausgabe des bootkit_removers Sorgen machen?

cosinus · 14.09.2010, 21:12

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

ChristianHRO · 14.09.2010, 21:27

Hier die Ausgabe von MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 133):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7B12000 \WINDOWS\system32\KDCOM.DLL
0xF7A22000 \WINDOWS\system32\BOOTVID.dll
0xF74E2000 ACPI.sys
0xF7B14000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF74D1000 pci.sys
0xF7612000 isapnp.sys
0xF7622000 ohci1394.sys
0xF7632000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7A26000 compbatt.sys
0xF7A2A000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7BDA000 pciide.sys
0xF7892000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7642000 MountMgr.sys
0xF74B2000 ftdisk.sys
0xF7A2E000 ACPIEC.sys
0xF7BDB000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF789A000 PartMgr.sys
0xF7652000 VolSnap.sys
0xF749A000 atapi.sys
0xF73C4000 iaStor.sys
0xF73AE000 viamraid.sys
0xF7396000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xF7662000 disk.sys
0xF7672000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7376000 fltmgr.sys
0xF7364000 sr.sys
0xF734D000 KSecDD.sys
0xF72C0000 Ntfs.sys
0xF7293000 NDIS.sys
0xF7279000 Mup.sys
0xF7692000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF77D2000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF71D4000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF69A6000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6992000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF71D0000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF696A000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF680D000 \SystemRoot\system32\DRIVERS\w39n51.sys
0xF79CA000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF67E9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF79D2000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF67D5000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xF77E2000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF79DA000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF67A6000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7B64000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF79E2000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF77F2000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7802000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7812000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6783000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7822000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF7D5D000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF6BB3000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF71C8000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF676C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF6BA3000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF6B93000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF79EA000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF675B000 \SystemRoot\system32\DRIVERS\psched.sys
0xF6B83000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF79F2000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF79FA000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6B73000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7B68000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF66FD000 \SystemRoot\system32\DRIVERS\update.sys
0xF7AD2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF6B63000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAA731000 \SystemRoot\system32\DRIVERS\smserial.sys
0xF7A02000 \SystemRoot\System32\Drivers\Modem.SYS
0xAA5AE000 \SystemRoot\system32\drivers\HdAudio.sys
0xAA58A000 \SystemRoot\system32\drivers\portcls.sys
0xF6B23000 \SystemRoot\system32\drivers\drmk.sys
0xF77A2000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7B8E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7CB1000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B90000 \SystemRoot\System32\Drivers\Beep.SYS
0xF795A000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF796A000 \SystemRoot\System32\drivers\vga.sys
0xF7B92000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B94000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7972000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7952000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7251000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA9E75000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA9DF0000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA9DA9000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA9D30000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA9D0E000 \SystemRoot\System32\drivers\afd.sys
0xAA4D4000 \SystemRoot\system32\DRIVERS\netbios.sys
0xAA0D2000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF798A000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA9CE3000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAA0C2000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xA9C73000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xAA0B2000 \SystemRoot\System32\Drivers\Fips.SYS
0x9EAC0000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B38000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA7251000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xA00E7000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xA031F000 \SystemRoot\System32\Drivers\BTHUSB.sys
0x9E175000 \SystemRoot\System32\Drivers\bthport.sys
0xA025F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xA0F83000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x9B0AD000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x98B9F000 \SystemRoot\system32\DRIVERS\rfcomm.sys
0x991D8000 \SystemRoot\system32\DRIVERS\BthEnum.sys
0x98210000 \SystemRoot\system32\DRIVERS\bthpan.sys
0x98B6F000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x9952F000 \SystemRoot\System32\Drivers\dump_diskdump.sys
0x981FA000 \SystemRoot\System32\Drivers\dump_viamraid.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0x9924E000 \SystemRoot\System32\drivers\Dxapi.sys
0x991C8000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7C6B000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF054000 \SystemRoot\System32\ati2cqag.dll
0xBF093000 \SystemRoot\System32\atikvmag.dll
0xBF0C9000 \SystemRoot\System32\ati3duag.dll
0xBF34D000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0x961E6000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x9B2CF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x961A9000 \SystemRoot\system32\drivers\wdmaud.sys
0xF7742000 \SystemRoot\system32\drivers\sysaudio.sys
0x9600E000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x95BA7000 \SystemRoot\system32\DRIVERS\srv.sys
0x95761000 \SystemRoot\System32\Drivers\HTTP.sys
0x95255000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 44):
0 System Idle Process
4 System
832 C:\WINDOWS\system32\smss.exe
880 csrss.exe
908 C:\WINDOWS\system32\winlogon.exe
952 C:\WINDOWS\system32\services.exe
964 C:\WINDOWS\system32\lsass.exe
1148 C:\WINDOWS\system32\ati2evxx.exe
1164 C:\WINDOWS\system32\svchost.exe
1228 svchost.exe
1268 C:\WINDOWS\system32\svchost.exe
1360 svchost.exe
1432 svchost.exe
1780 C:\WINDOWS\system32\spoolsv.exe
1816 C:\Programme\Avira\AntiVir Desktop\sched.exe
1828 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1980 C:\WINDOWS\system32\ati2evxx.exe
200 svchost.exe
304 C:\WINDOWS\explorer.exe
416 C:\Programme\Java\jre6\bin\jusched.exe
456 C:\WINDOWS\system32\rundll32.exe
472 C:\Programme\VIA\RAID\raid_tool.exe
484 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
492 C:\WINDOWS\sm56hlpr.exe
508 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
516 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
532 C:\WINDOWS\system32\MSTMON_S.EXE
632 C:\Programme\iTunes\iTunesHelper.exe
656 C:\Programme\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
744 C:\Programme\Magellan\VantagePoint\VPLite\VantagePoint Lite.exe
1632 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
1648 C:\Programme\Bonjour\mDNSResponder.exe
1672 svchost.exe
2060 C:\Programme\Java\jre6\bin\jqs.exe
2244 wdfmgr.exe
2720 C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
3040 C:\Programme\iPod\bin\iPodService.exe
3288 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3468 alg.exe
2192 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
2156 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
2740 C:\WINDOWS\system32\ctfmon.exe
3816 C:\WINDOWS\system32\wuauclt.exe
9760 C:\Dokumente und Einstellungen\Christian\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST9120821AS, Rev: 3.04

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

cosinus · 14.09.2010, 21:51

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

14.09.2010, 21:51	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$BDS/Papras.PK [backdoor] in C:\WINDOWS\system32\lprdump.dll - Standard$ BDS/Papras.PK [backdoor] in C:\WINDOWS\system32\lprdump.dll Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

BDS/Papras.PK [backdoor] in C:\WINDOWS\system32\lprdump.dll

Plagegeister aller Art und deren Bekämpfung: BDS/Papras.PK [backdoor] in C:\WINDOWS\system32\lprdump.dll