Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR Windows Recovery

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.06.2011, 16:13   #1
Flagelated
 
TR Windows Recovery - Standard

TR Windows Recovery



Hallo,

ich habe mir gedacht, ich mache lieber einen neuen Thread auf bevor ich in andere ihre Threads poste.

Ich bekomme auf meinem Notebook die Meldung, dass die HDD defekt wäre (Programm Windows XP Recovery startet).

lt. Google ist es ein Trojaner.

Ich habe ein bissche rumgeforscht, wie man den wieder wegbekommt und bin folgendermaßen vorgegangen.

Zu erst habe ich das Programm mit Rkill abgeschossen


--------------------------------------------------------------------------------------------------------

Rkill was run on 21.06.2011 at 18:34:07.
Operating System: Microsoft Windows XP


Processes terminated by Rkill or while it was running:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bpbMHutRXor.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\25812772.exe


Rkill completed on 21.06.2011 at 18:34:12.


--------------------------------------------------------------------------------------------------------
Dann habe ich mir Malwarebytes heruntergeladen und einen scan drüberlaufen lassen:


--------------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6705

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

21.06.2011 20:15:24
mbam-log-2011-06-21 (20-15-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 251582
Laufzeit: 47 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\25812772.exe (Trojan.Agent) -> No action taken.

--------------------------------------------------------------------------------------------------------

Anschließend wollte ich das Programm tdsskiller laufen lassen, jedoch lies es sich nicht starten.

Nach einem Boot bekam ich wieder die XP Recovery meldung.

Also wieder Rkill, dann einen Scan mit Avira gemacht (meldete einen Fund) und schließlich wieder malwarebytes


--------------------------------------------------------------------------------------------------------
Datenbank Version: 6705

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

21.06.2011 21:43:00
mbam-log-2011-06-21 (21-42-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 251725
Laufzeit: 44 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\24764196.exe (Trojan.Agent) -> No action taken.

--------------------------------------------------------------------------------------------------------

Soll ich diese Exe manuell löschen?



Danke

Alt 22.06.2011, 19:03   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR Windows Recovery - Standard

TR Windows Recovery



Zitat:
Datenbank Version: 6705
Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.
__________________

__________________

Alt 23.06.2011, 11:54   #3
Flagelated
 
TR Windows Recovery - Standard

TR Windows Recovery



Hi,
ich habe jetzt die Datei manuell gelöscht und nochmal gescannt.

Dabei wurde

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

gefunden.

Danach habe ich Malwarebytes aktualisiert (keine Funde)

Das NB startet nun wieder ganz normal.
__________________

Alt 23.06.2011, 12:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR Windows Recovery - Standard

TR Windows Recovery



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Alt 23.06.2011, 13:30   #5
Flagelated
 
TR Windows Recovery - Standard

TR Windows Recovery



Hi, anbei das Ergebnis

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 23.06.2011 14:10:35 - Run 1
OTL by OldTimer - Version 3.2.24.1     Folder = C:\Dokumente und Einstellungen\XXX\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
895,17 Mb Total Physical Memory | 501,86 Mb Available Physical Memory | 56,06% Memory free
2,12 Gb Paging File | 1,65 Gb Available in Paging File | 77,83% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 20,00 Gb Total Space | 7,69 Gb Free Space | 38,43% Space Free | Partition Type: NTFS
Drive D: | 87,88 Gb Total Space | 56,11 Gb Free Space | 63,85% Space Free | Partition Type: NTFS
Drive F: | 7,53 Gb Total Space | 7,43 Gb Free Space | 98,61% Space Free | Partition Type: NTFS
 
Computer Name: X50RL | User Name: XXX | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.06.23 14:05:47 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XXX\Desktop\OTL.exe
PRC - [2011.04.28 22:11:25 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.03.16 23:41:52 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.11.04 07:43:23 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.08.19 11:32:24 | 007,418,368 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2009.08.19 11:32:20 | 007,424,000 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.02.19 19:38:58 | 000,033,136 | ---- | M] () -- C:\WINDOWS\ASScrPro.exe
PRC - [2007.08.03 13:24:54 | 000,125,496 | ---- | M] () -- C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
PRC - [2007.07.12 11:25:28 | 000,225,280 | ---- | M] () -- C:\Programme\ATK Hotkey\HControl.exe
PRC - [2007.07.10 18:33:58 | 000,106,496 | ---- | M] () -- C:\Programme\ATK Hotkey\WDC.exe
PRC - [2007.07.10 11:59:56 | 000,851,968 | ---- | M] (ATK) -- C:\Programme\ASUS\Splendid\ACMON.exe
PRC - [2007.07.05 17:53:44 | 001,040,384 | ---- | M] () -- C:\Programme\Wireless Console 2\wcourier.exe
PRC - [2007.07.03 11:48:02 | 007,708,672 | ---- | M] () -- C:\Programme\ATKOSD2\ATKOSD2.exe
PRC - [2007.07.02 08:14:44 | 001,265,664 | ---- | M] (sw4you, Siegfried Weckmann) -- C:\Programme\Hardcopy\hardcopy.exe
PRC - [2007.06.28 12:31:38 | 000,079,136 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
PRC - [2007.06.01 11:05:56 | 001,551,408 | ---- | M] (Nero AG) -- C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
PRC - [2007.05.23 17:56:14 | 002,420,736 | ---- | M] () -- C:\Programme\ATK Hotkey\ATKOSD.exe
PRC - [2007.05.03 18:42:56 | 000,376,921 | ---- | M] (Atheros Communications, Inc.) -- C:\Programme\Atheros\ACU.exe
PRC - [2007.05.03 18:42:38 | 000,364,629 | ---- | M] (Atheros) -- C:\WINDOWS\system32\acs.exe
PRC - [2007.04.25 22:05:34 | 000,311,296 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2007.04.17 14:39:42 | 000,077,824 | ---- | M] () -- C:\Programme\ATK Hotkey\KBFiltr.exe
PRC - [2007.01.16 17:13:14 | 000,106,496 | ---- | M] (ASUS) -- C:\WINDOWS\system32\ASUSTPE.exe
PRC - [2007.01.08 23:26:08 | 000,068,640 | ---- | M] (Cyberlink Corp.) -- C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
PRC - [2006.11.02 09:27:32 | 000,061,440 | ---- | M] (ASUSTeK Computer INC.) -- C:\Programme\ASUS\ATK Media\DMedia.exe
PRC - [2006.07.26 19:01:06 | 000,090,112 | ---- | M] (ASUSTeK Computer Inc.) -- C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
PRC - [2005.07.06 16:43:42 | 000,155,648 | ---- | M] (ASUSTeK) -- C:\WINDOWS\system32\ACEngSvr.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.06.23 14:05:47 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XXX\Desktop\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2007.02.22 10:33:43 | 000,065,536 | ---- | M] () -- C:\Programme\Hardcopy\HcDLL2_K_Win32.dll
MOD - [2003.11.20 13:18:06 | 000,045,056 | ---- | M] () -- C:\Programme\Hardcopy\hardcopy.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - [2011.04.28 22:11:25 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.03.16 23:41:52 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2007.08.03 13:24:54 | 000,125,496 | ---- | M] () [Auto | Running] -- C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe -- (spmgr)
SRV - [2007.06.28 12:31:38 | 000,079,136 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007.06.01 11:21:30 | 000,271,920 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2007.06.01 11:05:56 | 001,551,408 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe -- (InCDsrv)
SRV - [2007.05.03 18:42:38 | 000,364,629 | ---- | M] (Atheros) [Auto | Running] -- C:\WINDOWS\system32\acs.exe -- (ACS)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.03.16 23:41:53 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.22 22:12:21 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2007.08.28 06:58:00 | 000,005,760 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ATKACPI.sys -- (MTsensor)
DRV - [2007.08.21 02:50:54 | 000,030,208 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\l251x86.sys -- (AtcL002)
DRV - [2007.08.02 22:26:22 | 000,020,936 | ---- | M] () [Kernel | Auto | Running] -- C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys -- (ghaio)
DRV - [2007.06.01 11:05:56 | 000,038,576 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDRm.sys -- (incdrm)
DRV - [2007.06.01 11:05:56 | 000,037,040 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDPass.sys -- (InCDPass)
DRV - [2007.06.01 11:05:46 | 000,118,704 | ---- | M] (Nero AG) [File_System | Disabled | Running] -- C:\WINDOWS\system32\drivers\InCDfs.sys -- (InCDfs)
DRV - [2007.05.02 20:00:58 | 000,546,976 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2007.03.28 20:52:18 | 000,057,024 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wsimd.sys -- (WSIMD)
DRV - [2007.02.02 01:03:24 | 001,975,296 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2007.01.24 04:08:40 | 000,005,632 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\kbfiltr.sys -- (kbfiltr)
DRV - [2006.11.22 03:35:00 | 000,982,272 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial)
DRV - [2006.11.02 19:32:30 | 004,394,496 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.05.24 19:51:55 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.24 19:51:55 | 000,000,000 | ---D | M]
 
[2010.02.10 19:33:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Extensions
[2011.05.24 19:47:38 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\fo0ptk7i.default\extensions
[2010.02.10 19:39:04 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\fo0ptk7i.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.05.24 19:47:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.30 11:23:23 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
File not found (No name found) -- 
[2010.01.29 21:29:28 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.05.24 19:51:43 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll
[2011.05.24 19:51:46 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.05.24 19:51:46 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml
[2011.05.24 19:51:46 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.05.24 19:51:46 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.05.24 19:51:46 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.05.24 19:51:46 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.02.28 15:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.EXE (ASYSTeK Computer INC.)
O4 - HKLM..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe (ATK)
O4 - HKLM..\Run: [ACU] C:\Programme\Atheros\ACU.exe (Atheros Communications, Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ASUS Camera ScreenSaver] C:\WINDOWS\ASScrProlog.exe ()
O4 - HKLM..\Run: [ASUS Screen Saver Protector] C:\WINDOWS\ASScrPro.exe ()
O4 - HKLM..\Run: [ASUSTPE] C:\WINDOWS\system32\ASUSTPE.exe (ASUS)
O4 - HKLM..\Run: [ATKHOTKEY] C:\Programme\ATK Hotkey\Hcontrol.exe ()
O4 - HKLM..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMedia.exe (ASUSTeK Computer INC.)
O4 - HKLM..\Run: [ATKOSD2] C:\Programme\ATKOSD2\ATKOSD2.exe ()
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\ASUSTek\ASUSDVD\Language\Language.exe ()
O4 - HKLM..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe (Cyberlink Corp.)
O4 - HKLM..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe ()
O4 - HKCU..\Run: [bpbMHutRXor]  File not found
O4 - HKCU..\Run: [StartCCC] c:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\Autostart\Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe (sw4you, Siegfried Weckmann)
O4 - Startup: C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264793874968 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.02.19 18:16:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\Shell - "" = AutoRun
O33 - MountPoints2\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL start.html
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe - (Adobe Systems Incorporated)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 9.0\Reader\AdobeCollabSync.exe - (Adobe Systems Incorporated)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^XXX^Startmenü^Programme^Autostart^CCC.lnk - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe - (ATI Technologies Inc.)
MsConfig - StartUpReg: ASUS Live Update - hkey= - key= - C:\Programme\ASUS\ASUS Live Update\ALU.exe ()
MsConfig - StartUpReg: InCD - hkey= - key= - C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
MsConfig - StartUpReg: LightScribe Control Panel - hkey= - key= - C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
MsConfig - StartUpReg: SecurDisc - hkey= - key= - C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
MsConfig - StartUpReg: SkyTel - hkey= - key= - C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
MsConfig - StartUpReg: SMSERIAL - hkey= - key= - C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vds - Service
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - Microsoft NetShow Player
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447)
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: ccc-core-static - msiexec /fums {857D4360-762B-978B-76AD-491AA719E47A} /qb
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: wave1 - C:\WINDOWS\System32\serwvdrv.dll (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902053519425536)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.06.23 14:09:34 | 000,579,072 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XXX\Desktop\OTL.exe
[2011.06.23 13:53:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\ASUSTek ASUSDVD
[2011.06.23 10:21:13 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\XXX\Recent
[2011.06.21 18:37:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
[2011.06.21 18:37:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.06.19 22:02:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\Windows XP Repair
[2007.01.24 04:08:39 | 000,005,632 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\kbfiltr.sys
[12 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.06.23 14:05:47 | 000,579,072 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XXX\Desktop\OTL.exe
[2011.06.23 13:53:44 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.06.23 13:52:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.06.23 13:52:42 | 938,725,376 | -HS- | M] () -- C:\hiberfil.sys
[2011.06.21 20:20:32 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\24764196
[2011.06.19 22:02:59 | 000,000,216 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~25812772
[2011.06.19 22:02:58 | 000,000,152 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~25812772r
[2011.06.19 22:02:51 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\25812772
[2011.06.19 09:33:41 | 000,496,574 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.06.19 09:33:41 | 000,472,598 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.06.19 09:33:41 | 000,101,032 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.06.19 09:33:41 | 000,084,470 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.06.05 19:24:44 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[12 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.06.22 18:44:22 | 000,002,243 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2011.06.22 18:44:22 | 000,001,715 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2011.06.22 18:44:22 | 000,001,572 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.06.22 18:44:22 | 000,001,364 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Atheros Client Utility.lnk
[2011.06.21 20:20:32 | 000,000,336 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\24764196
[2011.06.19 22:02:58 | 000,000,216 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~25812772
[2011.06.19 22:02:58 | 000,000,152 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~25812772r
[2011.06.19 22:02:51 | 000,000,336 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\25812772
[2010.06.10 17:59:35 | 000,000,399 | ---- | C] () -- C:\WINDOWS\System32\Remover.ini
[2010.06.10 17:59:30 | 000,000,566 | ---- | C] () -- C:\WINDOWS\System32\SP207.ini
[2010.05.30 11:27:27 | 000,000,056 | ---- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.02.10 19:33:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008.03.21 21:21:55 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.03.21 19:17:09 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.03.21 19:16:19 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2008.03.21 19:16:19 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2008.03.21 19:11:35 | 000,000,024 | ---- | C] () -- C:\WINDOWS\ATKPF.ini
[2008.02.19 19:38:57 | 000,033,136 | ---- | C] () -- C:\WINDOWS\ASScrPro.exe
[2008.02.19 19:38:47 | 000,037,232 | ---- | C] () -- C:\WINDOWS\ASScrProlog.exe
[2008.02.19 19:38:45 | 000,012,288 | ---- | C] () -- C:\WINDOWS\impborl.dll
[2008.02.19 18:44:49 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2008.02.19 18:19:06 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2008.02.19 18:18:14 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.02.19 18:14:30 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.02.19 18:10:39 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.02.19 18:10:03 | 000,289,296 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.02.19 12:46:11 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2007.08.06 03:18:31 | 000,081,920 | ---- | C] () -- C:\WINDOWS\PGMonitor.exe
[2007.02.02 00:40:09 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativvaxx.dat
[2007.01.29 21:21:33 | 000,128,813 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2006.12.14 01:11:57 | 000,005,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\ATKACPI.sys
[2006.08.17 18:42:55 | 000,007,424 | ---- | C] () -- C:\WINDOWS\System32\drivers\MMIOPORT.SYS
[2006.08.17 18:42:55 | 000,002,538 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2006.08.17 18:42:41 | 000,496,574 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006.08.17 18:42:41 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006.08.17 18:42:41 | 000,101,032 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006.08.17 18:42:41 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006.08.17 18:42:27 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.08.17 18:42:24 | 000,472,598 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006.08.17 18:42:24 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006.08.17 18:42:24 | 000,084,470 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006.08.17 18:42:24 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006.08.17 18:42:23 | 000,004,487 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006.08.17 18:42:19 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006.08.17 18:42:17 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2006.08.17 18:42:14 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006.08.17 18:42:14 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006.08.17 18:42:11 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006.08.17 18:42:01 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
 
========== LOP Check ==========
 
[2008.03.21 16:40:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2008.03.21 19:41:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Auslogics
[2010.01.29 21:54:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\OpenOffice.org
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2010.03.18 21:49:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Adobe
[2008.03.21 16:40:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Ahead
[2008.03.21 21:22:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ATI
[2008.03.21 19:41:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Auslogics
[2010.06.04 11:37:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Avira
[2008.02.19 18:16:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Identities
[2008.02.19 18:43:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\InstallShield
[2008.02.19 19:38:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Macromedia
[2011.06.21 18:37:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
[2010.05.19 21:44:52 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft
[2010.02.10 19:33:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla
[2010.01.29 21:54:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\OpenOffice.org
[2010.01.29 20:53:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\OpenOffice.org2
[2011.06.07 11:58:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype
[2011.06.07 11:16:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\skypePM
[2008.03.21 19:18:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Sun
[2010.08.26 06:24:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\vlc
 
< %APPDATA%\*.exe /s >
[2008.02.19 19:28:26 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{01FF2C26-DBCE-DADA-BEE5-0928E0F8F623}\ARPPRODUCTICON.exe
[2008.02.19 19:28:38 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{05F4ABAC-8697-2291-16D8-4BFD7DD78B59}\ARPPRODUCTICON.exe
[2008.02.19 19:28:08 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{07C85A90-668F-A807-5C67-975E0777A9E8}\ARPPRODUCTICON.exe
[2008.02.19 19:27:44 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{0EA06F05-4320-E4DC-4374-E6C0986C964D}\ARPPRODUCTICON.exe
[2008.02.19 19:28:04 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{137C5C08-8B6F-497A-1529-502359B3BA88}\ARPPRODUCTICON.exe
[2008.02.19 19:28:28 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{17EE76BB-5264-8946-DA8F-D564ED25EDDD}\ARPPRODUCTICON.exe
[2008.02.19 19:28:34 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{27599825-6BD9-1081-D1CC-0BFC01157204}\ARPPRODUCTICON.exe
[2008.02.19 19:28:12 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{2E13776F-DEAF-7C83-C2A9-3BF073D51BFD}\ARPPRODUCTICON.exe
[2008.02.19 19:28:02 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{3482A5D0-F16D-A6C9-397F-8D85EA61BF93}\ARPPRODUCTICON.exe
[2008.02.19 19:28:00 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{3C3CA756-9FB1-60D9-4435-6D9FEB42C637}\ARPPRODUCTICON.exe
[2008.02.19 19:28:14 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{3E4039F8-5DA8-0414-B7E1-8DA8C8FC1565}\ARPPRODUCTICON.exe
[2008.02.19 19:28:46 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{4A0FAC3C-852D-C0A3-1715-6F844C184CF0}\ARPPRODUCTICON.exe
[2008.02.19 19:28:32 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{4B29B49E-F274-58CE-25D2-791570F1619A}\ARPPRODUCTICON.exe
[2008.02.19 19:27:40 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{4B546AE5-DF17-6D39-A846-A9ECD0153C9A}\ARPPRODUCTICON.exe
[2008.02.19 19:27:58 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{57EF4BC7-0C52-1872-C0CE-AEAB996E5626}\ARPPRODUCTICON.exe
[2008.02.19 19:27:48 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{5B701396-48C3-A3FA-43DB-FF975446759C}\ARPPRODUCTICON.exe
[2008.02.19 19:28:46 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{5ECA8F33-8F8E-1042-2082-5F02E64D6140}\ARPPRODUCTICON.exe
[2008.02.19 19:27:38 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{68B84920-CD46-8C5B-DABE-EC0FF6F0C703}\ARPPRODUCTICON.exe
[2008.02.19 19:28:52 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{6AF75C96-2093-51F4-0412-501CB317A7F9}\ARPPRODUCTICON.exe
[2008.02.19 19:27:56 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{6D219284-A368-A0A5-AA55-8BAAE9EA60CC}\ARPPRODUCTICON.exe
[2008.02.19 19:28:32 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{732442CA-AFFC-E75D-C586-2A3C71D8CFFE}\ARPPRODUCTICON.exe
[2008.02.19 19:28:54 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{815B5312-F7B5-EDD5-A899-B0228C3C7F3A}\ARPPRODUCTICON.exe
[2008.02.19 19:27:42 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{89EAD7B4-1CAC-CC9E-F040-FE041A2EA77C}\ARPPRODUCTICON.exe
[2008.02.19 19:28:06 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{8BE3174F-3BFE-8822-4493-A0519D1E4E94}\ARPPRODUCTICON.exe
[2008.02.19 19:27:50 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{9D7802F0-3C39-ED52-10D9-AE8A7FB5A94C}\ARPPRODUCTICON.exe
[2008.02.19 19:28:22 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{AB1E9EC2-42E4-E801-83BB-AAFF86DDEC7E}\ARPPRODUCTICON.exe
[2008.02.19 19:27:52 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{B02A3921-F7B7-C73F-395B-8172C9EE4006}\ARPPRODUCTICON.exe
[2008.02.19 19:28:40 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{BD17DEF2-8970-E4F5-337A-C10DE4D33F29}\ARPPRODUCTICON.exe
[2008.02.19 19:28:28 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{C5A2542D-CF79-3EE6-7673-2CEDA2338172}\ARPPRODUCTICON.exe
[2008.02.19 19:28:20 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{C69B9631-B617-B714-7FE2-6FCD5B891ACD}\ARPPRODUCTICON.exe
[2008.02.19 19:28:54 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{C6D7BC96-A608-0908-F6E7-53C118423087}\ARPPRODUCTICON.exe
[2008.02.19 19:28:30 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{C8A4038E-4DA5-879D-A353-7443FC3EE22C}\ARPPRODUCTICON.exe
[2008.02.19 19:28:50 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{C9B7D4A2-7A42-96BC-DE77-6EB23F1116A8}\ARPPRODUCTICON.exe
[2008.02.19 19:28:48 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{CE344E77-B015-C6D0-9A1B-0EA0043E7A52}\ARPPRODUCTICON.exe
[2008.02.19 19:28:42 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{D9D45F79-D38C-9BCA-4023-6F3E365D5D25}\ARPPRODUCTICON.exe
[2008.02.19 19:27:30 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{DCE907E3-4D72-4CD3-A08A-BEFC8C7A5869}\ARPPRODUCTICON.exe
[2008.02.19 19:27:30 | 000,009,158 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{DCE907E3-4D72-4CD3-A08A-BEFC8C7A5869}\NewShortcut1_45160C5661F6468DA5B09FAE2C3E68D6.exe
[2008.02.19 19:28:16 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{E91EBA1F-DA25-58B2-365F-FB76BDC81F86}\ARPPRODUCTICON.exe
[2008.02.19 19:28:24 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{EE78C2A7-1413-105B-DC86-3F9FA6B10C2F}\ARPPRODUCTICON.exe
[2008.02.19 19:28:36 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{F2AAE965-966C-104E-ECCD-9F111A83139C}\ARPPRODUCTICON.exe
[2008.02.19 19:28:18 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{F3AEE6A8-5FA3-F9AA-8CA7-D1AAD6352065}\ARPPRODUCTICON.exe
[2008.02.19 19:28:44 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{F7F564DD-A790-D01A-5390-6D1386AA5621}\ARPPRODUCTICON.exe
[2008.02.19 19:28:56 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{FD9B0D38-7B82-5A3A-E046-D8DBF3F06A93}\ARPPRODUCTICON.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2006.02.28 15:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2006.02.28 15:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\I386\sp2.cab:AGP440.sys
[2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.14 01:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.14 01:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2006.02.28 15:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2006.02.28 15:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\I386\sp2.cab:atapi.sys
[2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2006.02.28 15:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 08:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 08:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2006.02.28 15:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 08:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 08:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2006.02.28 15:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 08:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 08:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2006.02.28 15:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2007.03.08 17:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2005.03.02 20:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2007.03.08 17:48:40 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
[2008.04.14 08:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 08:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 08:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 08:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\RarSFX1\userinit.exe
[2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\RarSFX2\userinit.exe
[2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\RarSFX3\userinit.exe
[2006.02.28 15:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2006.02.28 15:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\RarSFX1\winlogon.exe
[2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\RarSFX2\winlogon.exe
[2009.05.26 19:47:22 | 000,031,232 | ---- | M] (NirSoft) MD5=AC6094297CD882B8626466CDEB64F19F -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\RarSFX3\winlogon.exe
[2008.04.14 08:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 08:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2006.02.28 15:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2008.02.19 18:09:32 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2008.02.19 18:09:32 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2008.02.19 18:09:32 | 000,442,368 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< End of report >
         
--- --- ---


Alt 23.06.2011, 14:46   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR Windows Recovery - Standard

TR Windows Recovery



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [bpbMHutRXor]  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.02.19 18:16:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\Shell - "" = AutoRun
O33 - MountPoints2\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL start.html
[2011.06.19 22:02:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\Windows XP Repair
[2011.06.21 20:20:32 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\24764196
[2011.06.19 22:02:59 | 000,000,216 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~25812772
[2011.06.19 22:02:58 | 000,000,152 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~25812772r
[2011.06.19 22:02:51 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\25812772
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
--> TR Windows Recovery

Alt 23.06.2011, 15:57   #7
Flagelated
 
TR Windows Recovery - Standard

TR Windows Recovery



ist erl.

PHP-Code:
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\bpbMHutRXor deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:/value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c65dcb7e-0d05-11df-bab5-001e8cb1d0b0}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL start.html not found.
C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\Windows XP Repair folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\24764196 moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~25812772 moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~25812772r moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\25812772 moved successfully.
========== 
COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer 
Version 3.2.24.1 log created on 06232011_165059 

Alt 23.06.2011, 15:58   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR Windows Recovery - Standard

TR Windows Recovery



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Alt 23.06.2011, 16:10   #9
Flagelated
 
TR Windows Recovery - Standard

TR Windows Recovery



Hi,

TDSSKiller kann ich nicht starten. Wenn ich es anklicke passiert nichts. Auf meinem PC öffnet es normal, aber auf dem Notebook geht es nicht.

Alt 23.06.2011, 19:58   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR Windows Recovery - Standard

TR Windows Recovery



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Alt 23.06.2011, 21:15   #11
Flagelated
 
TR Windows Recovery - Standard

TR Windows Recovery



anbei das Logfile

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-06-22.05 - ZZZ 23.06.2011  22:05:48.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.895.428 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ZZZ\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
.
Infizierte Kopie von c:\windows\system32\drivers\volsnap.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-23 bis 2011-06-23  ))))))))))))))))))))))))))))))
.
.
2011-06-21 16:37 . 2011-06-21 16:37	--------	d-----w-	c:\dokumente und einstellungen\ZZZ\Anwendungsdaten\Malwarebytes
2011-06-21 16:37 . 2011-06-21 16:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-06-16 22:00 . 2011-04-21 13:37	105472	------w-	c:\windows\system32\dllcache\mup.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 15:31 . 2008-02-19 16:14	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 2006-08-17 16:42	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 15:44 . 2006-08-17 16:42	832512	----a-w-	c:\windows\system32\wininet.dll
2011-04-25 15:44 . 2006-08-17 16:42	1830912	------w-	c:\windows\system32\inetcpl.cpl
2011-04-25 15:44 . 2006-08-17 16:42	78336	----a-w-	c:\windows\system32\ieencode.dll
2011-04-25 15:44 . 2006-08-17 16:42	17408	----a-w-	c:\windows\system32\corpol.dll
2011-04-25 12:01 . 2006-08-17 16:42	389120	----a-w-	c:\windows\system32\html.iec
2011-04-21 13:37 . 2006-08-17 16:42	105472	----a-w-	c:\windows\system32\drivers\mup.sys
2011-05-24 17:51 . 2011-05-24 17:51	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2007-07-03 7708672]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2007-07-12 225280]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"ATKMEDIA"="c:\programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2007-07-10 851968]
"ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"RemoteControl"="c:\programme\ASUSTek\ASUSDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\programme\ASUSTek\ASUSDVD\Language\Language.exe" [2007-01-08 52256]
"Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"ASUSTPE"="c:\windows\system32\ASUSTPE.exe" [2007-01-16 106496]
"ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2008-02-19 37232]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2008-02-19 33136]
"ACU"="c:\programme\Atheros\ACU.exe" [2007-05-03 376921]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-04-25 311296]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-29 149280]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Administrator.NAME-52D8341E97\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\ZZZ\Startmen\Programme\Autostart\
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2008-3-21 1265664]
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^ZZZ^Startmenü^Programme^Autostart^CCC.lnk]
path=c:\dokumente und einstellungen\ZZZ\Startmenü\Programme\Autostart\CCC.lnk
backup=c:\windows\pss\CCC.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Live Update]
2007-07-19 14:41	49520	----a-w-	c:\programme\ASUS\ASUS Live Update\ALU.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
2007-06-01 09:05	1057328	----a-w-	c:\programme\Nero\Nero 7\InCD\InCD.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2007-06-20 11:49	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 14:57	153136	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
2007-06-01 09:06	1629744	----a-w-	c:\programme\Nero\Nero 7\InCD\NBHGui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 02:04	2879488	----a-w-	c:\windows\SkyTel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2006-11-22 01:31	630784	----a-w-	c:\programme\Motorola\SMSERIAL\sm56hlpr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.01.2010 21:25 136360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-06-20 11:47	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.informatik.fh-nuernberg.de/professors/ZZZ/Personal/ZZZHome.htm
uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/
FF - ProfilePath - c:\dokumente und einstellungen\ZZZ\Anwendungsdaten\Mozilla\Firefox\Profiles\fo0ptk7i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.informatik.fh-nuernberg.de/professors/ZZZ/Personal/ZZZHome.htm
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM_ActiveSetup-ccc-core-static - msiexec
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-23 22:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1056)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-06-23  22:12:18
ComboFix-quarantined-files.txt  2011-06-23 20:12
.
Vor Suchlauf: 8.139.923.968 Bytes frei
Nach Suchlauf: 8.381.209.088 Bytes frei
.
- - End Of File - - F4ACC53F81611031A9F349798EE0623B
         
--- --- ---

Alt 23.06.2011, 21:30   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR Windows Recovery - Standard

TR Windows Recovery



Jetzt sollte auch der tdsskiller starten

Alt 23.06.2011, 21:46   #13
Flagelated
 
TR Windows Recovery - Standard

TR Windows Recovery



ja tut er. keine Funde..

Kann ich mich nun wieder virenfrei nennen?

Alt 23.06.2011, 21:46   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR Windows Recovery - Standard

TR Windows Recovery



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Alt 23.06.2011, 22:28   #15
Flagelated
 
TR Windows Recovery - Standard

TR Windows Recovery



Nr 1

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-23 23:24:58
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS542512K9SA00 rev.BB2OC31P
Running: gmer.exe; Driver: C:\DOKUME~1\ZZZ\LOKALE~1\Temp\pgtdipob.sys


---- System - GMER 1.0.15 ----

SSDT            F7AED25E                                 ZwCreateKey
SSDT            F7AED254                                 ZwCreateThread
SSDT            F7AED263                                 ZwDeleteKey
SSDT            F7AED26D                                 ZwDeleteValueKey
SSDT            F7AED272                                 ZwLoadKey
SSDT            F7AED240                                 ZwOpenProcess
SSDT            F7AED245                                 ZwOpenThread
SSDT            F7AED27C                                 ZwReplaceKey
SSDT            F7AED277                                 ZwRestoreKey
SSDT            F7AED268                                 ZwSetValueKey

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \FileSystem\Fastfat \Fat                 B6EEAD20
Device          \FileSystem\Fastfat \Fat                 B6F02631

AttachedDevice  \FileSystem\Fastfat \Fat                 InCDrec.SYS (InCD File System Recognizer/Nero AG)

---- EOF - GMER 1.0.15 ----
         
--- --- ---


Nr.2


OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 23:33:55 on 23.06.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17098

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\ZZZ\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ghaio" (ghaio) - ? - C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys  (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDFs.sys
"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDRm.sys
"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDPass.sys
"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{10880D85-AAD9-4558-ABDC-2AB1552D831F} "LightScribe Control Panel" - "Hewlett-Packard Company" - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{2F5AC606-70CF-461C-BFE1-6063670C3484} "DisplayCplExt Class" - "ASUS" - C:\WINDOWS\system32\TPESetting.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{CAE3251E-9B15-4810-B268-852AD9792A59} "InCDShellExt Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDshx.dll
{B3D9AEDE-B2C3-406d-A254-6BE07767B08B} "InCDUdfPerm Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDUP.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - c:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

[Logon]
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\ZZZ\Startmenü\Programme\Autostart\desktop.ini
"OpenOffice.org 3.1.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
"Hardcopy.LNK" - "sw4you, Siegfried Weckmann" - C:\Programme\Hardcopy\hardcopy.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"StartCCC" - ? - c:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe  (File found, but it contains no detailed information)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ABLKSR" - "ASYSTeK Computer INC." - C:\WINDOWS\ABLKSR\ABLKSR.exe
"ACMON" - "ATK" - "C:\Programme\ASUS\Splendid\ACMON.exe"
"ACU" - "Atheros Communications, Inc." - C:\Programme\Atheros\ACU.exe -nogui
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ASUS Camera ScreenSaver" - ? - C:\WINDOWS\ASScrProlog.exe  (File found, but it contains no detailed information)
"ASUS Screen Saver Protector" - ? - C:\WINDOWS\ASScrPro.exe
"ASUSTPE" - "ASUS" - C:\WINDOWS\system32\ASUSTPE.exe
"ATKHOTKEY" - "ATK0100" - "C:\Programme\ATK Hotkey\Hcontrol.exe"  (File is exclusively opened, access blocked)
"ATKMEDIA" - "ASUSTeK Computer INC." - C:\Programme\ASUS\ATK Media\DMEDIA.EXE
"ATKOSD2" - ? - "C:\Programme\ATKOSD2\ATKOSD2.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"LanguageShortcut" - ? - C:\Programme\ASUSTek\ASUSDVD\Language\Language.exe
"Power_Gear" - "ASUSTeK Computer Inc." - C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
"RemoteControl" - "Cyberlink Corp." - C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"
"Wireless Console 2" - ? - "C:\Programme\Wireless Console 2\wcourier.exe"

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Atheros Wireless LAN" - ? - C:\WINDOWS\system32\athgina.dll  (File not found)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Atheros-Konfigurationsdienst" (ACS) - "Atheros" - C:\WINDOWS\system32\acs.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\CyberLink\Shared Files\RichVideo.exe
"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"spmgr" (spmgr) - ? - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/PHP]

und Nr. 3

PHP-Code:
MBRCheckversion 1.2.3
(c2010AD

Command
-line:            
Windows Version:        Windows XP Professional
Windows Information
:        Service Pack 3 (build 2600)
Logical Drives Mask:        0x0000007c

Kernel Drivers 
(total 131):
  
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E6000 
\WINDOWS\system32\hal.dll
  0xF799C000 
\WINDOWS\system32\KDCOM.DLL
  0xF78AC000 
\WINDOWS\system32\BOOTVID.dll
  0xF736C000 ACPI
.sys
  0xF799E000 
\WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF735B000 pci
.sys
  0xF749C000 isapnp
.sys
  0xF78B0000 compbatt
.sys
  0xF78B4000 
\WINDOWS\system32\DRIVERS\BATTC.SYS
  0xF7A64000 pciide
.sys
  0xF771C000 
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF74AC000 MountMgr
.sys
  0xF733C000 ftdisk
.sys
  0xF79A0000 dmload
.sys
  0xF7316000 dmio
.sys
  0xF78B8000 ACPIEC
.sys
  0xF7A65000 
\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xF7724000 PartMgr
.sys
  0xF74BC000 VolSnap
.sys
  0xF72FE000 atapi
.sys
  0xF74CC000 disk
.sys
  0xF74DC000 
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF72DE000 fltmgr
.sys
  0xF72CC000 sr
.sys
  0xF72B5000 KSecDD
.sys
  0xF7228000 Ntfs
.sys
  0xF71FB000 NDIS
.sys
  0xF71E1000 Mup
.sys
  0xF79B8000 
\SystemRoot\system32\DRIVERS\ATKACPI.sys
  0xF766C000 
\SystemRoot\system32\DRIVERS\intelppm.sys
  0xF4F85000 
\SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF4F71000 
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF4EEB000 
\SystemRoot\system32\DRIVERS\ar5211.sys
  0xF767C000 
\SystemRoot\system32\DRIVERS\l251x86.sys
  0xF781C000 
\SystemRoot\system32\DRIVERS\usbohci.sys
  0xF4EC7000 
\SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF7824000 
\SystemRoot\system32\DRIVERS\usbehci.sys
  0xF768C000 
\SystemRoot\system32\DRIVERS\imapi.sys
  0xF769C000 
\SystemRoot\system32\DRIVERS\cdrom.sys
  0xF76AC000 
\SystemRoot\system32\DRIVERS\redbook.sys
  0xF4EA4000 
\SystemRoot\system32\DRIVERS\ks.sys
  0xF782C000 
\SystemRoot\system32\drivers\InCDPass.sys
  0xF76BC000 
\SystemRoot\system32\drivers\InCDRm.sys
  0xF4E7C000 
\SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF76CC000 
\SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF79BA000 
\SystemRoot\system32\DRIVERS\kbfiltr.sys
  0xF7834000 
\SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF4E4C000 
\SystemRoot\system32\DRIVERS\SynTP.sys
  0xF79BC000 
\SystemRoot\system32\DRIVERS\USBD.SYS
  0xF783C000 
\SystemRoot\system32\DRIVERS\mouclass.sys
  0xF796C000 
\SystemRoot\system32\DRIVERS\CmBatt.sys
  0xF7AE6000 
\SystemRoot\system32\DRIVERS\audstub.sys
  0xF76DC000 
\SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7970000 
\SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF4E35000 
\SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF76EC000 
\SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF76FC000 
\SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7844000 
\SystemRoot\system32\DRIVERS\TDI.SYS
  0xF4DFC000 
\SystemRoot\system32\DRIVERS\psched.sys
  0xF770C000 
\SystemRoot\system32\DRIVERS\msgpc.sys
  0xF784C000 
\SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7854000 
\SystemRoot\system32\DRIVERS\raspti.sys
  0xF4DCC000 
\SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF750C000 
\SystemRoot\system32\DRIVERS\termdd.sys
  0xF79BE000 
\SystemRoot\system32\DRIVERS\swenum.sys
  0xF4D6E000 
\SystemRoot\system32\DRIVERS\update.sys
  0xF798C000 
\SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF751C000 
\SystemRoot\system32\DRIVERS\wsimd.sys
  0xF752C000 
\SystemRoot\System32\Drivers\NDProxy.SYS
  0xF756C000 
\SystemRoot\system32\DRIVERS\usbhub.sys
  0xEC7A5000 
\SystemRoot\system32\drivers\RtkHDAud.sys
  0xEC781000 
\SystemRoot\system32\drivers\portcls.sys
  0xF757C000 
\SystemRoot\system32\drivers\drmk.sys
  0xEC691000 
\SystemRoot\system32\DRIVERS\smserial.sys
  0xF7864000 
\SystemRoot\System32\Drivers\Modem.SYS
  0xF794C000 
\SystemRoot\system32\drivers\MODEMCSA.sys
  0xF79C2000 
\SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7B88000 
\SystemRoot\System32\Drivers\Null.SYS
  0xF79C4000 
\SystemRoot\System32\Drivers\Beep.SYS
  0xF7884000 
\SystemRoot\System32\drivers\vga.sys
  0xF79C6000 
\SystemRoot\System32\Drivers\mnmdd.SYS
  0xF79C8000 
\SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF7960000 
\SystemRoot\System32\Drivers\InCDrec.SYS
  0xEC62D000 
\SystemRoot\system32\drivers\InCDFs.sys
  0xF788C000 
\SystemRoot\System32\Drivers\Msfs.SYS
  0xF7894000 
\SystemRoot\System32\Drivers\Npfs.SYS
  0xF4E31000 
\SystemRoot\system32\DRIVERS\rasacd.sys
  0xEC5F2000 
\SystemRoot\system32\DRIVERS\ipsec.sys
  0xEC599000 
\SystemRoot\system32\DRIVERS\tcpip.sys
  0xEC571000 
\SystemRoot\system32\DRIVERS\netbt.sys
  0xEC54B000 
\SystemRoot\system32\DRIVERS\ipnat.sys
  0xEC529000 
\SystemRoot\System32\drivers\afd.sys
  0xF758C000 
\SystemRoot\system32\DRIVERS\netbios.sys
  0xF789C000 
\SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xEC4FE000 
\SystemRoot\system32\DRIVERS\rdbss.sys
  0xEC48E000 
\SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF759C000 
\SystemRoot\System32\Drivers\Fips.SYS
  0xF4E11000 
\SystemRoot\system32\DRIVERS\hidusb.sys
  0xF75AC000 
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xF78A4000 
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF4E0D000 
\SystemRoot\system32\DRIVERS\mouhid.sys
  0xF75BC000 
\SystemRoot\system32\DRIVERS\wanarp.sys
  0xEC3A0000 
\SystemRoot\system32\DRIVERS\avipbb.sys
  0xF79CE000 
\??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF761C000 
\SystemRoot\System32\Drivers\Cdfs.SYS
  0xEC388000 
\SystemRoot\System32\Drivers\dump_atapi.sys
  0xF79F8000 
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 
\SystemRoot\System32\win32k.sys
  0xEC671000 
\SystemRoot\System32\drivers\Dxapi.sys
  0xF77A4000 
\SystemRoot\System32\watchdog.sys
  0xF77B4000 
\SystemRoot\system32\drivers\RTSTOR.SYS
  0xBF000000 
\SystemRoot\System32\drivers\dxg.sys
  0xF7BBB000 
\SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 
\SystemRoot\System32\ati2dvag.dll
  0xBF056000 
\SystemRoot\System32\ati2cqag.dll
  0xBF0AB000 
\SystemRoot\System32\atikvmag.dll
  0xBF0F7000 
\SystemRoot\System32\atiok3x2.dll
  0xBF107000 
\SystemRoot\System32\ati3duag.dll
  0xBF3BA000 
\SystemRoot\System32\ativvaxx.dll
  0xBF4F1000 
\SystemRoot\System32\ATMFD.DLL
  0xB86D3000 
\SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB8700000 
\SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB8386000 
\SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB8231000 
\SystemRoot\system32\drivers\wdmaud.sys
  0xB843B000 
\SystemRoot\system32\drivers\sysaudio.sys
  0xB826A000 
\??\C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys
  0xB7D04000 
\SystemRoot\system32\DRIVERS\srv.sys
  0xB7509000 
\SystemRoot\System32\Drivers\HTTP.sys
  0xF77CC000 
\SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0x7C910000 
\WINDOWS\system32\ntdll.dll

Processes 
(total 56):
       
0 System Idle Process
       4 System
     944 C
:\WINDOWS\system32\smss.exe
    1032 csrss
.exe
    1064 C
:\WINDOWS\system32\winlogon.exe
    1108 C
:\WINDOWS\system32\services.exe
    1120 C
:\WINDOWS\system32\lsass.exe
    1304 C
:\WINDOWS\system32\ati2evxx.exe
    1320 C
:\WINDOWS\system32\svchost.exe
    1404 svchost
.exe
    1444 C
:\WINDOWS\system32\svchost.exe
    1584 svchost
.exe
    1608 svchost
.exe
    1676 C
:\WINDOWS\system32\ati2evxx.exe
    1900 C
:\WINDOWS\system32\spoolsv.exe
    1968 C
:\WINDOWS\system32\acs.exe
    1988 C
:\Programme\Avira\AntiVir Desktop\sched.exe
    2000 C
:\Programme\Avira\AntiVir Desktop\avguard.exe
    2044 svchost
.exe
     216 C
:\Programme\Avira\AntiVir Desktop\avshadow.exe
     820 C
:\WINDOWS\explorer.exe
     932 C
:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
     972 C
:\Programme\Java\jre6\bin\jqs.exe
    1168 C
:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    1672 C
:\Programme\CyberLink\Shared Files\RichVideo.exe
    1760 C
:\Programme\ATKOSD2\ATKOSD2.exe
    1768 C
:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
    1800 wdfmgr
.exe
     276 C
:\Programme\ATK Hotkey\HControl.exe
     352 C
:\WINDOWS\RTHDCPL.exe
     408 C
:\Programme\ASUS\ATK Media\DMedia.exe
     436 C
:\Programme\Synaptics\SynTP\SynTPEnh.exe
     576 C
:\Programme\ASUS\Splendid\ACMON.exe
     620 C
:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
     672 C
:\Programme\ASUS\Power4 Gear\BatteryLife.exe
     700 C
:\Programme\Wireless Console 2\wcourier.exe
     720 C
:\WINDOWS\system32\ASUSTPE.exe
     772 C
:\Programme\ATK Hotkey\ATKOSD.exe
     636 C
:\WINDOWS\ASScrPro.exe
    1832 C
:\Programme\Atheros\ACU.exe
    1644 C
:\WINDOWS\system32\ACEngSvr.exe
     968 C
:\Programme\FreePDF_XP\fpassist.exe
    2136 C
:\Programme\Java\jre6\bin\jusched.exe
    2192 C
:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2212 C
:\Programme\ATK Hotkey\KBFiltr.exe
    2232 C
:\Programme\ATK Hotkey\WDC.exe
    2256 C
:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    2296 C
:\Programme\Hardcopy\hardcopy.exe
    2340 C
:\Programme\OpenOffice.org 3\program\soffice.exe
    2364 C
:\Programme\OpenOffice.org 3\program\soffice.bin
    2676 C
:\WINDOWS\system32\wbem\wmiapsrv.exe
    2732 wmiprvse
.exe
    2740 alg
.exe
    2856 C
:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    3660 C
:\WINDOWS\system32\wscntfy.exe
    1504 C
:\Dokumente und Einstellungen\ZZZ\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`fa08fc00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005
`fa1e6000  (NTFS)

PhysicalDrive0 Model NumberHitachiHTS542512K9SA00RevBB2OC31P

      Size  Device Name          MBR Status
  
--------------------------------------------
    
111 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1
ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done


Geändert von Flagelated (23.06.2011 um 22:37 Uhr)

Antwort

Themen zu TR Windows Recovery
anti-malware, avira, boot, dateien, defekt, disabletaskmgr, einstellungen, explorer, folge, google, löschen, malwarebytes, meldung, microsoft, neue, notebook, programm, recover, recovery, scan, software, startet, system, trojan.agent, version, windows, windows xp



Ähnliche Themen: TR Windows Recovery


  1. Windows XP Recovery GAU
    Plagegeister aller Art und deren Bekämpfung - 18.06.2011 (15)
  2. Windows XP Recovery -Zeugs
    Plagegeister aller Art und deren Bekämpfung - 11.06.2011 (33)
  3. Windows Recovery
    Log-Analyse und Auswertung - 10.06.2011 (20)
  4. windows xp recovery eingefangen!!
    Plagegeister aller Art und deren Bekämpfung - 03.06.2011 (7)
  5. Windows Recovery Problem
    Plagegeister aller Art und deren Bekämpfung - 25.05.2011 (26)
  6. Windows 7 recovery
    Log-Analyse und Auswertung - 24.05.2011 (9)
  7. Windows Recovery eingefangen!
    Log-Analyse und Auswertung - 18.05.2011 (37)
  8. Windows Recovery eingefangen
    Log-Analyse und Auswertung - 09.05.2011 (24)
  9. Windows Recovery auf PC
    Log-Analyse und Auswertung - 08.05.2011 (6)
  10. Windows Recovery Virus LOG
    Log-Analyse und Auswertung - 05.05.2011 (1)
  11. Windows Recovery Malware
    Log-Analyse und Auswertung - 05.05.2011 (32)
  12. Windows recovery eingefangen
    Log-Analyse und Auswertung - 04.05.2011 (31)
  13. Windows Recovery
    Log-Analyse und Auswertung - 04.05.2011 (7)
  14. Windows recovery
    Log-Analyse und Auswertung - 26.04.2011 (13)
  15. Windows recovery virus
    Log-Analyse und Auswertung - 25.04.2011 (1)
  16. Windows Recovery :(
    Plagegeister aller Art und deren Bekämpfung - 24.04.2011 (1)
  17. Windows Recovery Nachwehen
    Log-Analyse und Auswertung - 20.04.2011 (2)

Zum Thema TR Windows Recovery - Hallo, ich habe mir gedacht, ich mache lieber einen neuen Thread auf bevor ich in andere ihre Threads poste. Ich bekomme auf meinem Notebook die Meldung, dass die HDD defekt - TR Windows Recovery...
Archiv
Du betrachtest: TR Windows Recovery auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.