rootkit Trojaner FakeAlert!grb auf Windows XP Notebook

West79 · 10.07.2011, 16:54

Hallo M-K-D-B

Ich konnte praktisch mühelos alle geforderten Schritte durchgehen. Hier folgen Meine Bemerkungen und die Logfiles.

Schritt #1: Die Fragen haben wir bereits besprochen.

Schritt #2: rKill hat funktioniert. Hatte danach wieder Schreibrecht auf dem Desktop.

Schritt #3: MBAM ist durchgelaufen. Hier das logfile.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 7060

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.07.2011 11:53:02
mbam-log-2011-07-10 (11-53-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 179055
Laufzeit: 15 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JUaDAjhRvP (Trojan.FakeAlert) -> Value: JUaDAjhRvP -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\juadajhrvp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\17424164.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Schritt #3.5: unhide.exe hat super Arbeit geleistet. Der volle Desktop war wieder hergestellt.

Schritt #4: Defogger hab ich laufen lassen. Ist allerdings nicht viel passiert. Ist da was falsch gelaufen? Im Logfile steht nur das:

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:16 on 10/07/2011 (Stephen)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Schritt #5: Gmer ist gelaufen und hat den halben Sonntagnachmittag gebraucht. Das log passt hier nicht rein; ist drum geteilt in zwei txt-files im Anhang:

Schritt #6: Auch OTL lief blendend. Das OTL.txt ist ebenso riesig und ist im Anhang un zwei Files unterteilt. Das Extra.txt ebenso im Anhang.

Ich hoffe all dies hilft uns weiter. Was denkst du? Oder sollte ich besser

?

Schöner Gruss
West79

M-K-D-B · 10.07.2011, 18:29

Hallo West79,

Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von West79

Schritt #4: Defogger hab ich laufen lassen. Ist allerdings nicht viel passiert. Ist da was falsch gelaufen?

Nein, das mit Defogger lief so, wie es sollte. Alles in Ordnung.

Zitat:

Zitat von West79

Ich hoffe all dies hilft uns weiter. Was denkst du?

Ja, es hilft uns weiter.

Zitat:

Zitat von West79

Oder sollte ich besser

?

Nein. Sowas kommt nur in Frage, wenn alles andere scheitert.
Bislang läufts ja ganz gut.

Zu deiner eigenen Sicherheit bitte ich dich, bis auf weiteres, kein Online-Banking oder andere Online-Geschäfte an diesem Computer abzuwicklen, bis wir die Bereinigung abgeschlossen haben.

Schritt # 2: Systemdateien verstecken
Gehe bitte auf Start --> Systemsteuerung --> Extras --> Ordneroptionen.
Wechsle auf den Reiter Ansicht.

Setze den Hacken bei Geschützte Systemdateien ausblenden ( empfohlen )
Setze den Hacken bei Erweiterungen bei bekannten Dateitypen ausblenden
Aktiviere Versteckte Dateien und Ordner ausblenden

Drücke auf Übernehmen und OK

Lösche keinesfalls Ordner oder Dateien ohne Anweisung

Schritt # 3: Deinstallation von Programmen

Folge folgendem Pfad: Start -> Systemsteuerung -> Software
Suche in der Liste Software mit dem folgenden Namen
- Ask Toolbar
- Conduit Engine
- softonic-de3 Toolbar
- NCH Toolbar
und deinstalliere das Programm.
Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.

Schritt # 4: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

Schließe alle laufenden Programme.
Trenne dich von Internet.
Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Mache während dem Scan nichts am Rechner
1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
  Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 5: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Schritt # 6: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Ich sehe in deinen Logfiles noch Reste von Symantec und Check Point:

Zitat:

"LiveReg" = LiveReg (Symantec Corporation)
"LiveUpdate" = LiveUpdate 2.6 (Symantec Corporation)
DRV - [2005.01.26 08:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)

Gehe ich richtig in der Annahme, dass du die Produkte der beiden Hersteller zwischenzeitlich installiert hattest, aber sie inzwischen wieder deinstalliert worden sind? Eventuell hast du ja früher einemal ZoneAlarm oder Norton Antivirus oder ähnliches installiert gehabt?
Es gibt spezielle Bereinigungstools. Diese könnten wir dann einsetzen, um die Reste zu entfernen.

Ich sehe, dass du nicht mehr gerade viel Platz auf dem Systemlaufwerk hast:

Zitat:

Drive C: | 50.91 Gb Total Space | 5.02 Gb Free Space | 9.87% Space Free | Partition Type: NTFS

Besitzt du eine externe Festplatte?
Wie läuft dein Rechner derzeit?
Gibt es irgendwelche Auffälligkeiten?
Was ist das genau für ein Backup?

Zitat:

C:\RRbackups

Wozu dient es?
Hast du eine Windows XP CD zur Hand? Wenn ja, handelt es sich hierbei um eine normale Windows XP CD oder eine Recovery CD?
Hast du neben Windows XP noch ein anderes Betriebssystem, wie z. B. Linux oder ähnliches installiert?

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

eine Rückmeldung bezüglich der geforderten Deinstallationen,
das Logfile des TDSS Killers,
das Logfile von ComboFix und
die Beantwortung der gestellten Fragen.

West79 · 11.07.2011, 10:12

Schritt #2 und #3 verliefen ohne Probleme. Bin nun bei Schritt #4 angelangt. Habe die Datei TDSS Killer.exe wie gewünscht runtergeladen und auf den Desktop kopiert.

Leider startet das Programm aber nicht. Nach dem Doppelklick blockt es zugleich ab, ohne Fehlermeldung und ohne sichtbare Reaktion des Computers...

Wie sollen wir weiterfahren?

Beantwortung deiner Fragen:

Zitat:

Ich sehe in deinen Logfiles noch Reste von Symantec und Check Point. Gehe ich richtig in der Annahme, dass du die Produkte der beiden Hersteller zwischenzeitlich installiert hattest, aber sie inzwischen wieder deinstalliert worden sind? Eventuell hast du ja früher einemal ZoneAlarm oder Norton Antivirus oder ähnliches installiert gehabt?
Es gibt spezielle Bereinigungstools. Diese könnten wir dann einsetzen, um die Reste zu entfernen.

Ich verwende McAfee als Virenscanner. Norton war vom Hersteller vorgeschlagen und vorinstalliert als Demoversion. Hätte eigentlich vollständig deinstalliert sein sollen, aber offenbar nicht...

Zitat:

Ich sehe, dass du nicht mehr gerade viel Platz auf dem Systemlaufwerk hast. Besitzt du eine externe Festplatte?

Ja, aber eigentlich nur zur Datenverwahrung. Alle aktiven Projekte und Programme laufen auf dem Notebook. Zugegeben, momentan ist die Platte ganz schön voll, aber es ist viel Mist drauf den ich baldmöglichst wieder entfernen werde.

Zitat:

Wie läuft dein Rechner derzeit?

Eigentlich ganz gut.

Zitat:

Gibt es irgendwelche Auffälligkeiten?

Nein, abgesehen vom älteren Baujahr läuft er ganz in Ordnung.

Zitat:

Was ist das genau für ein Backup?

War eine Backup-solution des Herstellers. Habe diese nie entfernt, aber auch nie verwendet. Für Backupzwecke habe ich die externe Harddisk manuel verwendet.

Zitat:

Hast du eine Windows XP CD zur Hand? Wenn ja, handelt es sich hierbei um eine normale Windows XP CD oder eine Recovery CD?

Ja, habe eine normale Windows XP installations CD.

Zitat:

Hast du neben Windows XP noch ein anderes Betriebssystem, wie z. B. Linux oder ähnliches installiert?

Nein, nichts dergleichen.

M-K-D-B · 11.07.2011, 19:02

Hallo West79,

vielen Dank für die ausführliche Rückmeldung.

Zitat:

Zitat von West79

Bin nun bei Schritt #4 angelangt. Habe die Datei TDSS Killer.exe wie gewünscht runtergeladen und auf den Desktop kopiert.

Leider startet das Programm aber nicht. Nach dem Doppelklick blockt es zugleich ab, ohne Fehlermeldung und ohne sichtbare Reaktion des Computers...

Wahrscheinlich blockiert ein Rootkit das Tool.

Zitat:

Zitat von West79

Wie sollen wir weiterfahren?

Wir machen wie folgt weiter:

Schritt # 1: FixTDSS ausführen
Downloade dir bitte FixTDSS.exe und speichere die Datei am Desktop.

Beende alle laufenden Programme und schließe alle offenen Fenster.
Starte die FixTDSS.exe.
Windows Vista und 7 Nutzer mit Rechtsklick "Als Administrator ausführen"
Akzeptiere die Nutzungsbedingungen.
Klicke anschließend auf Proceed und bestätige mit Ok.
Das Tool wird deinen Rechner neu starten.
Gegebenenfalls musst du die Ausführung von FixTDSS.exe nochmals erlauben.
Anschließend wird das Tool automatisch den Suchlauf starten.
Nach Ende des Suchlaufs erscheint ein kleines Fenster von FixTDSS mit einer Nachricht.
Poste diese mit deiner nächsten Antwort.
Starte deinen Rechner zum Abschluss neu auf.

Schritt # 2: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Nachricht von FixTDSS und
das Logfile von ComboFix.

West79 · 11.07.2011, 21:14

Besten dank für die Tipps. Hier die gewünschten Rückmeldungen.

Schritt 1: FixTDSS

Funktionierte ganz gut. Die Meldung nach beenden des Scans lautete:

Code:

ATTFilter

***Infected MBR detected

Schritt 2: ComboFix

Ebenso keine Probleme beim durchlaufen. Ich glaube hier ist einiges gelaufen. Anbei das log:

Code:

ATTFilter

ComboFix 11-07-11.02 - Stephen 11.07.2011  21:47:37.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.41.1031.18.1534.942 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\sephen\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Enabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\sephen\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\sephen\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\sephen\Desktop\Windows XP Fix.lnk
c:\dokumente und einstellungen\sephen\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\zlibwapi.dll
.
c:\windows\system32\kernel32.dll . . . ist infiziert!!
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-11 bis 2011-07-11  ))))))))))))))))))))))))))))))
.
.
2011-07-11 18:57 . 2011-07-11 18:57	26872	----a-w-	c:\windows\system32\drivers\FixTDSS.sys
2011-07-11 18:57 . 2011-07-11 18:57	--------	d-----w-	c:\dokumente und einstellungen\sephen\Anwendungsdaten\FixTDSS
2011-07-10 09:32 . 2011-07-10 09:32	--------	d-----w-	c:\dokumente und einstellungen\sephen\Anwendungsdaten\Malwarebytes
2011-07-10 09:31 . 2011-05-29 07:11	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-10 09:31 . 2011-07-10 09:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-10 09:31 . 2011-05-29 07:11	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-07-10 09:31 . 2011-07-10 09:31	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-06-20 17:17 . 2011-06-20 17:17	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-15 19:58 . 2011-04-21 13:37	105472	------w-	c:\windows\system32\dllcache\mup.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-10 08:31 . 2006-09-15 00:01	5427	----a-w-	c:\windows\system32\EGATHDRV.SYS
2011-06-06 19:42 . 2011-06-06 19:42	0	----a-w-	c:\windows\system32\ConduitEngine.tmp
2011-05-02 15:31 . 2004-08-10 11:24	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 1979-12-31 22:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:05 . 1979-12-31 22:00	916480	----a-w-	c:\windows\system32\wininet.dll
2011-04-25 16:05 . 1979-12-31 22:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 1979-12-31 22:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 1979-12-31 22:00	385024	----a-w-	c:\windows\system32\html.iec
2011-04-21 13:37 . 1979-12-31 22:00	105472	----a-w-	c:\windows\system32\drivers\mup.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-02 68856]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-06-15 15141768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"TpShocks"="TpShocks.exe" [2005-11-07 106496]
"TP4EX"="tp4ex.exe" [2005-10-16 65536]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-24 237568]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"suScheduler"="c:\programme\ThinkVantage\SystemUpdate\UCLauncher.exe" [2005-08-01 40960]
"LPManager"="c:\progra~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-03-22 106496]
"AMSG"="c:\progra~1\THINKV~2\AMSG\amsg.exe" [2005-11-14 487424]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-08-01 122940]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-03-23 69632]
"cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2005-12-21 1996336]
"PDService.exe"="c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 49152]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2005-10-28 335872]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-03-01 196710]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-03-22 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-03-22 208896]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"HPpromo psc 2400 series"="c:\programme\HP\Digital Imaging\Promotions\HPpromo.exe" [2003-10-09 126976]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2011-01-30 38840]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2010-09-22 640440]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"BroadCam"="c:\programme\NCH Software\BroadCam\broadcam.exe" [2011-03-03 1175556]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\sephen\Startmen\Programme\Autostart\
Persbackup.lnk - c:\programme\Personal Backup 5\Persbackup.exe [2010-9-4 3593728]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Corel MEDIA FOLDERS INDEXER 8.LNK - c:\corel\Graphics8\Programs\MFIndexer.exe [2007-5-7 82944]
VPN Client.lnk - c:\windows\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico [2008-3-10 6144]
.
c:\dokumente und einstellungen\sephen\Startmen\Programme\Autostart\
Persbackup.lnk - c:\programme\Personal Backup 5\Persbackup.exe [2010-9-4 3593728]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
2006-03-23 00:03	49152	------w-	c:\programme\Lenovo\AwayTask\AwayNotify.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-02-14 10:16	39936	----a-w-	c:\windows\system32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 21:45	28672	----a-w-	c:\windows\system32\notifyf2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 18:16	24576	----a-w-	c:\windows\system32\tphklock.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Video Streaming Server Web Server
"1935:TCP"= 1935:TCP:BroadCam Video Streaming Server Flash Video Server
.
R0 FixTDSS;TDSS Fixtool driver;c:\windows\system32\drivers\FixTDSS.sys [11.07.2011 20:57 26872]
R2 BroadCamService;BroadCam Video Streaming Server;c:\programme\NCH Software\BroadCam\broadcam.exe [03.03.2011 13:10 1175556]
R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [15.11.2005 13:11 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [21.12.2005 16:45 3968]
R2 smihlp;SMI helper driver;c:\programme\ThinkVantage Fingerprint Software\smihlp.sys [14.02.2006 12:02 3328]
R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [06.05.2008 11:22 2368]
S2 gupdate1c9eec6187682c8;Google Update Service (gupdate1c9eec6187682c8);c:\programme\Google\Update\GoogleUpdate.exe [16.06.2009 23:04 133104]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [16.06.2009 23:04 133104]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10.07.2011 11:31 39984]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-06-16 21:04]
.
2011-07-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-06-16 21:04]
.
2011-07-11 c:\windows\Tasks\Personal Backup Test1.job
- c:\programme\Personal Backup 5\Persbackup.exe [2010-09-04 12:18]
.
2011-07-11 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2006-09-15 23:13]
.
2011-03-04 c:\windows\Tasks\prismShakeIcon.job
- c:\programme\NCH Software\Prism\prism.exe [2011-03-03 11:09]
.
2007-04-27 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2006-09-14 15:38]
.
2011-03-04 c:\windows\Tasks\videopadShakeIcon.job
- c:\programme\NCH Software\VideoPad\videopad.exe [2011-03-03 11:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ask.com/?o=13166&l=dis
uInternet Connection Wizard,ShellNext = iexplore
IE: Append Link Target to Existing PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Append to Existing PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert Link Target to Adobe PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert to Adobe PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
FF - ProfilePath - c:\dokumente und einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}
FF - prefs.js: network.proxy.type - 4
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: NCH Community Toolbar: {c2db4fe6-8409-45ce-8010-189a7b5cce86} - %profile%\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: softonic-de3 Community Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - %profile%\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Notify-ACNotify - ACNotify.dll
Notify-NavLogon - (no file)
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-Presentation Director - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-11 21:59
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1156)
c:\windows\system32\vrlogon.dll
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\windows\system32\biologon.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\windows\system32\tphklock.dll
c:\programme\ThinkVantage Fingerprint Software\crypto.dll
c:\programme\Lenovo\AwayTask\AwayNotify.dll
.
- - - - - - - > 'explorer.exe'(5248)
c:\windows\system32\PROCHLP.DLL
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\corel\Graphics8\programs\CMFFld80.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\TPHDEXLG.EXE
c:\windows\system32\TpKmpSVC.exe
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
c:\programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
c:\programme\ThinkVantage\SystemUpdate\UCLauncherService.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\programme\IBM ThinkVantage\Common\Logger\logmon.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\acs.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\TpShocks.exe
c:\programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-11  22:06:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-07-11 20:06
.
Vor Suchlauf: 5'617'254'400 Bytes frei
Nach Suchlauf: 9'660'133'376 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
.
- - End Of File - - 2104C77BC0F9F9314549F8071C205557

Schöner Gruss
West79

M-K-D-B · 11.07.2011, 21:34

Hallo West79,

Zitat:

***Infected MBR detected

Zitat:

c:\windows\system32\kernel32.dll . . . ist infiziert!!

Du hast wahrscheinlich ein Rootkit im Master Boot Sektor. Halte bitte deine Windows XP CD bereit. Eventuell benötigen wir diese bald!

Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Gib über Google verschiedene Suchbegriffe ein und klicke auf die vorgegebenen Links. Wirst du dabei auf andere, nicht gewünschte Seiten umgeleitet? Teste bitte mit Firefox und dem Internet Explorer und berichte.

Schritt # 2: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

Klicke auf Durchsuchen
Kopiere nun folgendes in die Suchleiste.
Code:
ATTFilter
```
c:\windows\system32\kernel32.dll
         
```
und klicke auf Öffnen.
Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.

Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt # 3: Benutzerdefinierter Scan mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

/md5start
kernel32.dll
/md5stop

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Nichts und danach den Scan Button.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 4: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Beantwortung der gestellten Fragen,
den Link zum Ergebnis von VirusTotal,
das Logfile von OTL (OTL.txt) und
das Logfile von aswMBR.

West79 · 12.07.2011, 10:13

Schritt 1: Beantwortung der gestellten Fragen

Zitat:

Gib über Google verschiedene Suchbegriffe ein und klicke auf die vorgegebenen Links. Wirst du dabei auf andere, nicht gewünschte Seiten umgeleitet? Teste bitte mit Firefox und dem Internet Explorer und berichte.

Han über Google im Firefox und im Internet Explorer verschiedene Begriffe gesucht. Hat jedesmal richtig funktioniert und der Link führte auf die völlig korrekte Homepages.

Schritt 2: VirusTotal

Hab die gefragte Datei kernel32.dll mit VirusTotal untersuchen lassen. In der Tat musste ich Reanalyze klicken als die von dir genannte Message aufpoppte. Hier folgt der Link. Scheint so als ob keiner der Virenscanner was gefunden hatte.

VirusTotal - Free Online Virus, Malware and URL Scanner

Schritt 3: OTL

Ist auch gut gelaufen. Hier der Inhalt von OTL.txt

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 12.07.2011 09:44:08 - Run 2
OTL by OldTimer - Version 3.2.26.1     Folder = C:\Dokumente und Einstellungen\sephen\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
1.50 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 66.69% Memory free
2.35 Gb Paging File | 2.01 Gb Available in Paging File | 85.57% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50.91 Gb Total Space | 9.05 Gb Free Space | 17.77% Space Free | Partition Type: NTFS
Drive D: | 135.06 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: WEYENETH | User Name: Stephen | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
PRC - [2010.09.22 18:11:26 | 000,640,440 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
PRC - [2010.09.22 18:11:20 | 000,148,928 | ---- | M] (Adobe Systems Incorporated.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrodist.exe
PRC - [2010.08.06 10:07:57 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.11.10 11:46:26 | 001,504,304 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
PRC - [2006.04.17 13:13:00 | 000,094,208 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
PRC - [2006.04.17 13:12:28 | 000,151,552 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
PRC - [2006.04.17 13:12:26 | 000,040,960 | ---- | M] () -- C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
PRC - [2006.04.17 13:09:10 | 000,409,600 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
PRC - [2006.04.17 12:59:10 | 000,098,304 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
PRC - [2006.03.23 02:03:00 | 000,073,728 | ---- | M] (Lenovo Group Limited) -- C:\WINDOWS\system32\IPSSVC.EXE
PRC - [2006.03.23 02:03:00 | 000,069,632 | ---- | M] (Lenovo Group Limited) -- C:\Programme\Lenovo\AwayTask\AwaySch.EXE
PRC - [2006.03.01 11:50:06 | 000,626,810 | ---- | M] (Diskeeper Corporation) -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
PRC - [2006.02.14 14:17:28 | 000,110,592 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe
PRC - [2006.01.17 10:37:24 | 000,266,295 | ---- | M] (Broadcom Corporation.) -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
PRC - [2005.12.21 18:34:58 | 000,077,824 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
PRC - [2005.12.21 18:27:00 | 000,032,768 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe
PRC - [2005.12.21 18:20:56 | 001,384,448 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
PRC - [2005.12.21 18:08:02 | 001,996,336 | ---- | M] (Lenovo Group Limited) -- C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
PRC - [2005.12.21 17:17:54 | 000,722,480 | ---- | M] (IBM) -- C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
PRC - [2005.11.15 13:13:24 | 000,049,152 | R--- | M] (Utimaco Safeware AG) -- C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
PRC - [2005.11.08 16:07:02 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\acs.exe
PRC - [2005.10.26 00:44:30 | 000,086,016 | ---- | M] (Lenovo Group Limited) -- C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
PRC - [2005.08.01 17:32:40 | 000,040,960 | ---- | M] () -- C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe
PRC - [2005.08.01 05:10:00 | 000,122,940 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\DLA\DLACTRLW.EXE
PRC - [2005.07.05 14:57:12 | 000,077,824 | ---- | M] () -- C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
PRC - [2005.06.06 21:26:22 | 000,032,768 | ---- | M] () -- C:\WINDOWS\system32\TpKmpSvc.exe
PRC - [2004.07.27 16:50:18 | 000,081,920 | ---- | M] (InstallShield Software Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
PRC - [2003.10.09 13:17:48 | 000,126,976 | ---- | M] (hp) -- C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe
PRC - [2003.06.25 12:24:48 | 000,049,152 | ---- | M] (Hewlett-Packard) -- C:\Programme\HP\HP Software Update\hpwuSchd.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2006.03.23 02:03:00 | 000,086,016 | ---- | M] (Lenovo Group Limited) -- C:\WINDOWS\system32\PROCHLP.DLL
MOD - [2006.02.14 14:17:12 | 000,065,536 | ---- | M] (Synaptics, Inc.) -- C:\WINDOWS\system32\SynTPFcs.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (PsaSrv)
SRV - [2011.03.03 13:10:56 | 001,175,556 | ---- | M] (NCH Software) [Auto | Stopped] -- C:\Programme\NCH Software\BroadCam\broadcam.exe -- (BroadCamService)
SRV - [2010.08.06 10:07:57 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2006.11.10 11:46:26 | 001,504,304 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2006.04.17 13:12:28 | 000,151,552 | ---- | M] (Lenovo) [Auto | Running] -- C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe -- (AcSvc)
SRV - [2006.04.17 13:12:26 | 000,040,960 | ---- | M] () [Auto | Running] -- C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe -- (AcPrfMgrSvc)
SRV - [2006.03.23 02:03:00 | 000,073,728 | ---- | M] (Lenovo Group Limited) [Auto | Running] -- C:\WINDOWS\system32\IPSSVC.EXE -- (IPSSVC)
SRV - [2006.03.01 11:50:06 | 000,626,810 | ---- | M] (Diskeeper Corporation) [Auto | Running] -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe -- (Diskeeper)
SRV - [2006.01.17 10:37:24 | 000,266,295 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe -- (btwdins)
SRV - [2005.12.21 18:34:58 | 000,077,824 | ---- | M] () [Auto | Running] -- C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe -- (TVT Scheduler)
SRV - [2005.12.21 18:20:56 | 001,384,448 | ---- | M] () [Auto | Running] -- C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe -- (TVT Backup Service)
SRV - [2005.12.21 17:17:54 | 000,722,480 | ---- | M] (IBM) [Auto | Running] -- C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe -- (TSSCoreService)
SRV - [2005.11.08 16:07:02 | 000,036,864 | ---- | M] () [On_Demand | Running] -- C:\WINDOWS\system32\acs.exe -- (ACS)
SRV - [2005.08.01 17:32:40 | 000,040,960 | ---- | M] () [Auto | Running] -- C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe -- (UCLauncherService)
SRV - [2005.06.06 21:26:22 | 000,032,768 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\TpKmpSvc.exe -- (TpKmpSVC)
SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.11 20:57:20 | 000,026,872 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\FixTDSS.sys -- (FixTDSS)
DRV - [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2008.05.06 11:22:40 | 000,002,368 | ---- | M] (AntiCracking) [Kernel | Auto | Running] -- C:\WINDOWS\system32\SVKP.sys -- (SVKP)
DRV - [2007.11.11 19:14:02 | 000,043,488 | ---- | M] (Oak Technology Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K)
DRV - [2006.11.10 11:44:52 | 000,305,788 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2006.10.02 18:45:40 | 000,126,864 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2006.09.15 01:59:34 | 000,016,256 | ---- | M] (Lenovo) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)
DRV - [2006.03.23 02:03:00 | 000,005,120 | ---- | M] (Lenovo Group Limited) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\PROCDD.SYS -- (PROCDD)
DRV - [2006.03.23 01:13:00 | 000,004,442 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TPPWRIF.SYS -- (TPPWRIF)
DRV - [2006.02.27 02:52:00 | 000,007,168 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TSMAPIP.SYS -- (TSMAPIP)
DRV - [2006.02.21 22:46:26 | 001,505,792 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2006.02.14 12:02:40 | 000,003,328 | ---- | M] (UPEK Inc.) [Kernel | Auto | Running] -- C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys -- (smihlp)
DRV - [2006.01.17 10:18:22 | 000,850,474 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2006.01.17 10:14:52 | 000,065,688 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2006.01.17 01:52:00 | 000,014,848 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SMAPINT.SYS -- (Smapint)
DRV - [2006.01.17 01:52:00 | 000,009,343 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TDSMAPI.SYS -- (TDSMAPI)
DRV - [2006.01.13 00:33:22 | 000,006,016 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\IBMBLDID.sys -- (IBMTPCHK)
DRV - [2005.12.21 17:14:58 | 000,012,544 | ---- | M] (IBM) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ibmfilter.sys -- (ibmfilter)
DRV - [2005.12.21 10:19:10 | 000,470,208 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2005.11.15 13:11:28 | 000,046,142 | R--- | M] (Utimaco Safeware AG) [Kernel | Auto | Running] -- C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys -- (PrivateDisk)
DRV - [2005.11.08 09:27:20 | 000,011,520 | ---- | M] (IBM Corp.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ANC.sys -- (ANC)
DRV - [2005.10.26 10:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.08.01 05:10:00 | 000,092,700 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2005.08.01 05:10:00 | 000,087,004 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2005.08.01 05:10:00 | 000,086,524 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2005.08.01 05:10:00 | 000,025,628 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2005.08.01 05:10:00 | 000,014,684 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2005.08.01 05:10:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2005.08.01 05:10:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)
DRV - [2005.07.07 09:03:34 | 000,005,628 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2005.07.07 09:02:56 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)
DRV - [2005.05.17 05:51:34 | 000,005,315 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2005.01.26 08:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ask.com/?o=13166&l=dis
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "NCH Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {c2db4fe6-8409-45ce-8010-189a7b5cce86}:3.3.5.1
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.5.1
FF - prefs.js..extensions.enabledItems: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065}:3.2.5.2
FF - prefs.js..network.proxy.type: 4
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.06.22 21:22:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.22 21:22:03 | 000,000,000 | ---D | M]
 
[2010.02.14 13:04:29 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Extensions
[2011.07.11 21:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions
[2011.06.23 22:42:10 | 000,000,000 | ---D | M] (NCH Community Toolbar) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}
[2011.07.08 19:28:36 | 000,000,000 | ---D | M] (softonic-de3 Community Toolbar) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
[2011.06.23 22:42:08 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\engine@conduit.com
[2011.01.17 15:40:58 | 000,000,909 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\searchplugins\conduit.xml
[2011.07.11 21:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.13 15:42:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.10.07 22:49:37 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.12.10 19:13:19 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.21 10:00:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2010.04.11 09:43:31 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.11.12 19:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.03.10 21:24:02 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.03.10 21:24:02 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.03.10 21:24:02 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.03.10 21:24:03 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.03.10 21:24:03 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.07.11 21:59:17 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Snapform Viewer PlugIn for IE) - {00AF1458-D967-4C0E-B736-D6D010521EF5} - C:\Programme\SnapFormViewer\Viewer\bin\lib\SFVPlugInIE_x86.dll (Ringler Informatik AG)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe (Lenovo)
O4 - HKLM..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe (Lenovo)
O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE (Lenovo Group Limited)
O4 - HKLM..\Run: [BLOG] C:\Programme\ThinkPad\Utilities\BATLOGEX.DLL ()
O4 - HKLM..\Run: [BroadCam] C:\Programme\NCH Software\BroadCam\broadcam.exe (NCH Software)
O4 - HKLM..\Run: [cssauth] C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe (Lenovo Group Limited)
O4 - HKLM..\Run: [DiskeeperSystray] C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe (Diskeeper Corporation)
O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions)
O4 - HKLM..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd.exe (Hewlett-Packard)
O4 - HKLM..\Run: [HPpromo psc 2400 series] C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe (hp)
O4 - HKLM..\Run: [ISUSPM Startup] c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISUSScheduler] c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [PDService.exe] C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe (Utimaco Safeware AG)
O4 - HKLM..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (Google Inc.)
O4 - HKLM..\Run: [PWRMGRTR] C:\Programme\ThinkPad\Utilities\PWRMGRTR.DLL (Lenovo Group Limited)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [suScheduler] C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe ()
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [TP4EX] C:\WINDOWS\System32\TP4EX.exe (Lenovo Group Limited)
O4 - HKLM..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe (Lenovo)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe (Corel Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico ()
O4 - Startup: C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Autostart\Persbackup.lnk = C:\Programme\Personal Backup 5\Persbackup.exe (J. Rathlev, IEAP, Uni-Kiel)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Append Link Target to Existing PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Append to Existing PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert Link Target to Adobe PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert to Adobe PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe ()
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189769570031 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/1.4.2/jinstall-142-win.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: GinaDLL - (vrlogon.dll) - C:\WINDOWS\System32\vrlogon.dll (UPEK Inc.)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\AwayNotify: DllName - C:\Programme\Lenovo\AwayTask\AwayNotify.dll - C:\Programme\Lenovo\AwayTask\AwayNotify.dll (Lenovo Group Limited)
O20 - Winlogon\Notify\psfus: DllName - psqlpwd.dll - C:\WINDOWS\System32\psqlpwd.dll (UPEK Inc.)
O20 - Winlogon\Notify\tpfnf2: DllName - notifyf2.dll - C:\WINDOWS\System32\notifyf2.dll ()
O20 - Winlogon\Notify\tphotkey: DllName - tphklock.dll - C:\WINDOWS\System32\tphklock.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.04.27 02:32:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.01.16 03:00:00 | 000,000,027 | R--- | M] () - D:\Autorun.inf -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.07.11 21:45:04 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011.07.11 21:29:18 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011.07.11 21:29:18 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011.07.11 21:29:18 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011.07.11 21:29:18 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011.07.11 21:29:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.07.11 21:14:29 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.07.11 20:57:20 | 000,026,872 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\FixTDSS.sys
[2011.07.11 20:57:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\FixTDSS
[2011.07.11 20:54:25 | 004,148,094 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\sephen\Desktop\ComboFix.exe
[2011.07.11 20:54:25 | 001,932,256 | ---- | C] (Symantec Corporation) -- C:\Dokumente und Einstellungen\sephen\Desktop\FixTDSS.exe
[2011.07.11 10:35:02 | 001,458,992 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\sephen\Desktop\tdsskiller.exe
[2011.07.10 17:08:51 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
[2011.07.10 11:32:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Malwarebytes
[2011.07.10 11:31:49 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.07.10 11:31:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.07.10 11:31:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.07.10 11:31:41 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.07.10 11:31:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.07.10 11:25:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Desktop\Trojaner-Krieg
[2011.07.10 10:52:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\sephen\Recent
[2011.07.08 18:07:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Windows XP Fix
[2011.07.08 08:53:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2011.06.30 14:41:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Desktop\Spin Glass
[2011.06.20 19:17:18 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.06.15 21:58:29 | 000,105,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mup.sys
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[8 C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.07.12 09:43:32 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\broadcamShakeIcon.job
[2011.07.12 09:24:13 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.07.12 09:23:50 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2011.07.12 09:23:36 | 000,000,316 | ---- | M] () -- C:\WINDOWS\tasks\PMTask.job
[2011.07.12 09:23:26 | 000,008,880 | ---- | M] () -- C:\WINDOWS\System32\PROCDB.INI
[2011.07.12 09:23:12 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.07.12 09:23:08 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.07.12 09:22:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.07.12 09:22:18 | 1608,941,568 | -HS- | M] () -- C:\hiberfil.sys
[2011.07.11 21:59:17 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.07.11 21:45:11 | 000,000,310 | RHS- | M] () -- C:\BOOT.INI
[2011.07.11 20:57:20 | 000,026,872 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\FixTDSS.sys
[2011.07.11 20:53:06 | 004,148,094 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\sephen\Desktop\ComboFix.exe
[2011.07.11 20:51:12 | 001,932,256 | ---- | M] (Symantec Corporation) -- C:\Dokumente und Einstellungen\sephen\Desktop\FixTDSS.exe
[2011.07.11 12:18:10 | 000,000,410 | ---- | M] () -- C:\WINDOWS\tasks\Personal Backup Test1.job
[2011.07.11 10:34:14 | 001,458,992 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\sephen\Desktop\tdsskiller.exe
[2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
[2011.07.10 12:16:46 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\defogger_reenable
[2011.07.10 12:14:18 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\hdyof2xc.exe
[2011.07.10 12:08:30 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Defogger.exe
[2011.07.10 12:01:18 | 000,684,297 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\unhide.exe
[2011.07.08 18:14:56 | 000,000,040 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~17424164
[2011.06.30 23:04:05 | 000,000,716 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Skype™ Extras Manager.lnk
[2011.06.26 08:45:56 | 000,256,000 | ---- | M] () -- C:\WINDOWS\PEV.exe
[2011.06.24 11:09:22 | 000,828,165 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\e144527.pdf
[2011.06.22 23:59:34 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.06.20 19:17:18 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.06.13 16:32:44 | 000,179,045 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Raiffeisen_Budgetrechner_DE.pdf
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[8 C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.07.12 09:43:32 | 000,000,276 | ---- | C] () -- C:\WINDOWS\tasks\broadcamShakeIcon.job
[2011.07.11 21:49:59 | 000,001,583 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk
[2011.07.11 21:45:11 | 000,000,194 | ---- | C] () -- C:\Boot.bak
[2011.07.11 21:45:06 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2011.07.11 21:29:18 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.07.11 21:29:18 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.07.11 21:29:18 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.07.11 21:29:18 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.07.11 21:29:18 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.07.10 12:28:35 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\hdyof2xc.exe
[2011.07.10 12:16:46 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\defogger_reenable
[2011.07.10 12:15:51 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Defogger.exe
[2011.07.10 12:07:30 | 000,001,720 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2011.07.10 12:07:30 | 000,001,699 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GameSpy Comrade.lnk
[2011.07.10 12:07:30 | 000,001,577 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.07.10 12:07:30 | 000,001,528 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ThinkVantage Productivity Center.lnk
[2011.07.10 12:07:30 | 000,000,937 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Bildergalerie.lnk
[2011.07.10 12:07:30 | 000,000,771 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Director.lnk
[2011.07.10 12:07:15 | 000,002,423 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2011.07.10 12:07:15 | 000,001,686 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK
[2011.07.10 12:07:15 | 000,000,662 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Movie Maker.lnk
[2011.07.10 12:07:14 | 000,002,371 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Acrobat Distiller 9.lnk
[2011.07.10 12:07:14 | 000,002,359 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Acrobat 9 Pro.lnk
[2011.07.10 12:07:14 | 000,002,043 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IBM Java Plug-in-Systemsteuerung 1.4.2.lnk
[2011.07.10 12:07:14 | 000,001,908 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\MSN.lnk
[2011.07.10 12:07:14 | 000,001,871 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe LiveCycle Designer ES 8.2.lnk
[2011.07.10 12:07:14 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk
[2011.07.10 12:07:14 | 000,001,744 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Money.LNK
[2011.07.10 12:07:14 | 000,000,830 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VideoPad Videobearbeitungs-Software.lnk
[2011.07.10 12:07:14 | 000,000,816 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\BroadCam Video Streaming Server.lnk
[2011.07.10 12:07:14 | 000,000,770 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Prism Videodatei-Konverter.lnk
[2011.07.10 12:07:14 | 000,000,717 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\I.R.I.S. OCR-Registrierung.lnk
[2011.07.10 12:07:14 | 000,000,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk
[2011.07.10 12:07:14 | 000,000,322 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Bluetooth-Umgebung.lnk
[2011.07.10 12:01:47 | 000,684,297 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\unhide.exe
[2011.07.08 18:07:35 | 000,000,040 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~17424164
[2011.06.29 13:30:02 | 000,000,722 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Skype™ Extras Manager.lnk
[2011.06.29 13:30:02 | 000,000,716 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Skype™ Extras Manager.lnk
[2011.06.24 11:09:22 | 000,828,165 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\e144527.pdf
[2010.12.19 13:33:55 | 000,000,038 | ---- | C] () -- C:\WINDOWS\TETRIS.INI
[2010.12.19 13:13:08 | 000,306,688 | ---- | C] () -- C:\WINDOWS\Uninstall Spielesammlung.exe
[2010.12.19 13:13:03 | 000,000,380 | ---- | C] () -- C:\WINDOWS\Uninstall Spielesammlung.ini
[2010.06.10 18:09:43 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.02.14 13:04:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.05.10 14:42:30 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.02.08 15:43:20 | 000,002,478 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2008.09.17 18:27:18 | 000,000,056 | ---- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2008.08.25 14:10:54 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008.08.25 14:10:53 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2008.05.11 12:12:58 | 000,068,166 | ---- | C] () -- C:\Programme\Gamesload.RPT
[2008.05.05 23:01:15 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat
[2008.02.21 10:03:01 | 000,000,145 | ---- | C] () -- C:\WINDOWS\AVI2MPEG.ini
[2008.02.21 09:54:32 | 000,059,904 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.11.11 19:03:57 | 000,034,480 | ---- | C] () -- C:\WINDOWS\hpomdl03.dat
[2007.11.11 19:03:57 | 000,028,982 | ---- | C] () -- C:\WINDOWS\hpoins03.dat
[2007.07.02 19:25:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PowerReg.dat
[2007.05.07 21:17:54 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\sh33w32.dll
[2007.05.07 21:17:00 | 000,039,095 | ---- | C] () -- C:\WINDOWS\iccsigs.dat
[2007.05.07 21:14:19 | 000,000,465 | ---- | C] () -- C:\WINDOWS\barcode.ini
[2007.05.07 20:32:51 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2007.05.06 17:49:51 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.05.03 13:15:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\vpc32.INI
[2007.04.27 02:32:17 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.03.16 17:00:00 | 000,003,403 | ---- | C] () -- C:\WINDOWS\System32\hptcpmon.ini
[2006.11.10 11:46:36 | 000,197,680 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2006.11.10 11:46:24 | 000,193,584 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2006.09.15 02:04:14 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.09.15 02:03:47 | 000,016,384 | ---- | C] () -- C:\WINDOWS\PWMBTHLP.EXE
[2006.09.15 02:03:47 | 000,004,442 | ---- | C] () -- C:\WINDOWS\System32\drivers\TPPWRIF.SYS
[2006.09.15 02:03:31 | 000,006,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\IBMBLDID.sys
[2006.09.15 01:59:55 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\drivers\psasrv.exe
[2006.09.15 01:53:51 | 000,000,040 | ---- | C] () -- C:\WINDOWS\System32\profile.dat
[2006.09.15 01:49:48 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2006.09.15 01:49:48 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2006.09.15 01:49:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2006.09.15 01:49:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2006.09.15 01:49:48 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2006.09.15 01:49:48 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2006.09.15 01:49:14 | 000,028,848 | ---- | C] () -- C:\WINDOWS\System32\drivers\USBkey.sys
[2006.09.15 01:48:42 | 000,000,148 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2006.09.15 01:32:45 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\FPCALL.dll
[2006.09.15 01:31:41 | 000,009,343 | ---- | C] () -- C:\WINDOWS\System32\drivers\TDSMAPI.SYS
[2006.09.15 01:30:29 | 000,147,520 | ---- | C] () -- C:\WINDOWS\_tpiu000.exe
[2006.09.15 01:30:03 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2006.09.15 01:30:03 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll
[2006.09.15 01:30:03 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\acs.exe
[2006.09.15 01:29:33 | 000,315,392 | ---- | C] () -- C:\WINDOWS\System32\AegisI5.exe
[2006.09.15 01:29:20 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\TpKmpSvc.exe
[2006.01.27 09:59:50 | 000,002,963 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2006.01.20 16:05:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2006.01.17 10:31:30 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll
[2005.10.17 15:22:24 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\DEVMAN.DLL
[2005.07.08 01:06:00 | 000,114,688 | ---- | C] () -- C:\WINDOWS\desktopset.exe
[2005.05.23 08:22:24 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.BIN
[2005.05.23 08:22:24 | 000,004,547 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.DAT
[2004.08.10 13:48:32 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004.08.10 13:33:43 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004.08.10 13:23:42 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.08.10 13:18:03 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004.08.10 13:17:14 | 000,497,048 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2003.08.11 10:44:18 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll
[2001.11.14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
[1980.01.01 00:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[1980.01.01 00:00:00 | 000,391,568 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[1980.01.01 00:00:00 | 000,380,684 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[1980.01.01 00:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[1980.01.01 00:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[1980.01.01 00:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[1980.01.01 00:00:00 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[1980.01.01 00:00:00 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[1980.01.01 00:00:00 | 000,073,782 | ---- | C] () -- C:\WINDOWS\System32\ibmpmsvc.exe
[1980.01.01 00:00:00 | 000,063,982 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[1980.01.01 00:00:00 | 000,053,098 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[1980.01.01 00:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[1980.01.01 00:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[1980.01.01 00:00:00 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\notifyf2.dll
[1980.01.01 00:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[1980.01.01 00:00:00 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\tphklock.dll
[1980.01.01 00:00:00 | 000,008,880 | ---- | C] () -- C:\WINDOWS\System32\PROCDB.INI
[1980.01.01 00:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[1980.01.01 00:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[1980.01.01 00:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[1980.01.01 00:00:00 | 000,000,487 | ---- | C] () -- C:\WINDOWS\System32\IPSCTRL.INI
 
========== Custom Scans ==========
 
 
 
< MD5 for: KERNEL32.DLL  >
[2009.03.21 15:59:24 | 001,065,472 | ---- | M] (Microsoft Corporation) MD5=3EB703BFC2ED26A3D8ACB8626AB2C006 -- C:\WINDOWS\$hf_mig$\KB959426\SP3QFE\kernel32.dll
[2008.04.14 04:22:13 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=4C897C69754D88F496339B1A666907C1 -- C:\WINDOWS\$NtUninstallKB959426$\kernel32.dll
[2008.04.14 04:22:13 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=4C897C69754D88F496339B1A666907C1 -- C:\WINDOWS\ServicePackFiles\i386\kernel32.dll
[2007.04.16 18:09:38 | 001,059,840 | ---- | M] (Microsoft Corporation) MD5=5D0974BD58808FACA5D2C437B6FC8D85 -- C:\WINDOWS\$hf_mig$\KB935839\SP2QFE\kernel32.dll
[2007.04.16 17:53:05 | 001,058,304 | ---- | M] (Microsoft Corporation) MD5=8EEA8280A1E0E794EDFCCAD3721C7CAB -- C:\WINDOWS\$NtServicePackUninstall$\kernel32.dll
[2009.03.21 16:06:58 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=B055C64AABC1A3E3DE57EC8025CAD283 -- C:\WINDOWS\ERDNT\cache\kernel32.dll
[2009.03.21 16:06:58 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=B055C64AABC1A3E3DE57EC8025CAD283 -- C:\WINDOWS\system32\kernel32.dll
[2004.08.04 05:00:00 | 001,057,280 | ---- | M] (Microsoft Corporation) MD5=E6CD85D0D37416CF138F01F4BB0FC872 -- C:\WINDOWS\$NtUninstallKB935839$\kernel32.dll
 
< End of report >

--- --- ---

Schritt 4: aswMBR

Funktionierte super. Hier das log.

Code:

ATTFilter

aswMBR version 0.9.7.705 Copyright(c) 2011 AVAST Software
Run date: 2011-07-12 10:11:45
-----------------------------
10:11:45.671    OS Version: Windows 5.1.2600 Service Pack 3
10:11:45.671    Number of processors: 2 586 0xE08
10:11:45.671    ComputerName: WEYENETH  UserName: Stephen
10:11:46.390    Initialize success
10:13:59.875    AVAST engine defs: 11071101
10:14:14.812    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
10:14:14.828    Disk 0 Vendor: HTS54106 MB3I Size: 57231MB BusType: 3
10:14:14.843    Disk 0 MBR read successfully
10:14:14.843    Disk 0 MBR scan
10:14:14.843    Disk 0 unknown MBR code
10:14:14.843    Disk 0 scanning sectors +117210240
10:14:14.984    Disk 0 scanning C:\WINDOWS\system32\drivers
10:14:33.718    Service scanning
10:14:34.890    Disk 0 trace - called modules:
10:14:34.921    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys 
10:14:34.921    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a2df968]
10:14:34.921    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000094[0x8a396f18]
10:14:34.921    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8a40b030]
10:14:35.515    AVAST engine scan C:\WINDOWS
10:46:46.859    AVAST engine scan C:\Dokumente und Einstellungen\sephen
11:05:28.968    AVAST engine scan C:\Dokumente und Einstellungen\All Users
11:08:00.843    Scan finished successfully
11:08:51.421    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\sephen\Desktop\MBR.dat"
11:08:51.421    The log file has been saved successfully to "C:\Dokumente und Einstellungen\sephen\Desktop\aswMBR.txt"

Gruss
West79

...komischerweise hat es mir den Link zu Schritt 2 im vorhergehenden post nicht akzeptiert. Hier ist nochmals der link zum Resultat von VirusTotal:

VirusTotal - Free Online Virus, Malware and URL Scanner

Code:

ATTFilter

hxxp://www.virustotal.com/file-scan/report.html?id=4b9333743a73d4426019bbb66fd60a55802bcdfe2cdb1d71f92f83950f103e9c-1310455599

Gruss
West79

Again... Hoffentlich nicht wieder als hxxp...

VirusTotal - Free Online Virus, Malware and URL Scanner

Code:

ATTFilter

hxxp://www.virustotal.com/file-scan/report.html?id=4b9333743a73d4426019bbb66fd60a55802bcdfe2cdb1d71f92f83950f103e9c-1310455599

rootkit Trojaner FakeAlert!grb auf Windows XP Notebook

Log-Analyse und Auswertung: rootkit Trojaner FakeAlert!grb auf Windows XP Notebook