Jashla.exe/UKASH/Bundespolizei-Trojaner

Palamedes · 13.08.2011, 15:37

Liebe Boardgemeinde,

auf dem Rechner (XP, SP3) meiner Freundin hat sich leider vor einigen Tagen der Bundespolizei/UKASH/Jashla-Trojaner eingenistet. Habe mich zu diesem Thema hier auf diesem Board jetzt etwas eingelesen und würde mich freuen, wenn ihr mich bei der Beseitigung dieses Schädlings beraten und begleiten könntet.

Was ich bisher unternommen habe:

1. Nachdem der Bundespolizei-Bildschirm jegliche Benutzung des Rechners verhinderte, habe ich es geschafft, den Taskmanager aufzurufen, die jashla.exe zu stoppen und in der Systemwiederherstellung einen Punkt auszuwählen, der etwa 3 Tage vor Auftreten des Problems lag. Seitdem ist der Rechner wieder benutzbar, ohne dass sich jashla bemerkbar macht.

2. Anschließend habe ich den Computer von Avira Antivir durchsuchen lassen. Es gab hier einen Fund namens TP/LockScreen.Z, den ich in Quarantäne verschoben habe. Dem Namen nach könnte er ja mit dem Problem schon zusammenhängen.

3. Danach habe ich Malwarebytes geladen, aktualisiert und drüber laufen lassen. Auch dieses Programm hat zwei Sachen gefunden, die ich ebenfalls in Quarantäne genommen habe, das Log ist hier beigefügt. Nach einem Neustart habe ich anschließend nochmal Antivir und Malwarebytes (Log ebenfalls beigefügt) suchen lassen, allerdings ohne Fund.

4. Da ich nach der Lektüre der entsprechenden Threads nicht davon ausging, dass das Problem beseitigt ist, habe ich mir auf einem anderen Rechner die OTLPE-Boot-CD gebrannt und damit den infizierten Rechner gestartet. Die Dateien OTL.txt und Extras.txt sind beigefügt. Zuletzt habe ich nochmal Malwarebytes (Log beigefügt), defogger (ohne Befund) und Gmer (Log beigefügt) drüberlaufen lassen.

Nun wäre ich froh, wenn jemand sich die Logs mal anschauen könnte und mir sagt, welchen Schritt ich als nächstes gehen sollte.

Vielen Dank im Voraus,
Palamedes

cosinus · 16.08.2011, 11:31

Führe auch bitte ESET aus, danach sehen wir weiter.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Palamedes · 16.08.2011, 17:37

Danke für die Antwort!

Habe den ESET-Scan wie beschrieben ausgeführt, es wurde nichts gefunden (siehe Log).
Sollte ich dennoch weitere Schritte unternehmen?

Liebe Grüße

Palamedes

cosinus · 17.08.2011, 09:40

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Palamedes · 17.08.2011, 18:04

Hallo Arne,
hier das Ergebnis von OTL:

Code:

ATTFilter

OTL logfile created on: 17.08.2011 18:37:32 - Run 1
OTL by OldTimer - Version 3.2.26.1     Folder = C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
501,98 Mb Total Physical Memory | 326,79 Mb Available Physical Memory | 65,10% Memory free
1,20 Gb Paging File | 0,90 Gb Available in Paging File | 74,62% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55,88 Gb Total Space | 19,82 Gb Free Space | 35,48% Space Free | Partition Type: NTFS
 
Computer Name: YOUR-D747912430 | User Name: jenny | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.08.13 14:06:07 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\jenny\desktop\UKASH TROJANER\OTL.exe
PRC - [2011.07.21 12:08:02 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.05.28 14:46:56 | 000,353,168 | ---- | M] (IObit) -- C:\Programme\IObit\Advanced SystemCare 4\ASCService.exe
PRC - [2011.04.21 07:53:10 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.04.21 07:52:51 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.04.21 07:52:36 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005.08.01 14:25:44 | 001,093,632 | ---- | M] (TOSHIBA Inc.) -- C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
PRC - [2005.05.13 11:01:30 | 000,118,784 | ---- | M] (TOSHIBA Corporation) -- C:\Programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
PRC - [2005.04.12 10:05:26 | 000,065,536 | ---- | M] (TOSHIBA) -- C:\Programme\Toshiba\TOSCDSPD\TOSCDSPD.exe
PRC - [2005.01.17 16:38:38 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) -- C:\Programme\Toshiba\ConfigFree\CFSvcs.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.08.13 14:06:07 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\jenny\desktop\UKASH TROJANER\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2010.07.30 11:18:26 | 000,232,960 | ---- | M] (IObit) -- C:\Programme\IObit\IObit Security 360\is360mon.dll
MOD - [2006.05.03 22:53:54 | 000,174,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\framedyn.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - File not found [On_Demand | Stopped] --  -- (AppMgmt)
SRV - [2011.07.21 12:08:02 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.05.28 14:46:56 | 000,353,168 | ---- | M] (IObit) [Auto | Running] -- C:\Programme\IObit\Advanced SystemCare 4\ASCService.exe -- (AdvancedSystemCareService)
SRV - [2011.04.21 07:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.06.11 19:14:22 | 000,312,152 | ---- | M] (IObit) [Auto | Stopped] -- C:\Programme\IObit\IObit Security 360\is360srv.exe -- (IS360service)
SRV - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2006.12.14 17:00:00 | 000,544,768 | ---- | M] (Magix AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- (UPnPService)
SRV - [2005.01.17 16:38:38 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) [Auto | Running] -- C:\Programme\Toshiba\ConfigFree\CFSvcs.exe -- (CFSvcs)
SRV - [2004.10.22 04:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.03.09 22:31:02 | 000,065,795 | R--- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.21 12:11:12 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.21 12:11:11 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.12.18 10:58:52 | 000,011,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\SystemRequirementsLab\cpudrv.sys -- (cpudrv)
DRV - [2009.11.12 14:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.11.11 14:26:02 | 002,216,064 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R)
DRV - [2009.10.08 17:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.09.29 16:05:15 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.08.18 16:25:00 | 000,040,464 | ---- | M] (Paragon Software Group) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\hotcore3.sys -- (hotcore3)
DRV - [2008.06.28 02:42:44 | 000,130,688 | ---- | M] (Paragon Software Group) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\Uim_IM.sys -- (Uim_IM)
DRV - [2008.06.28 02:42:44 | 000,033,072 | ---- | M] (Paragon Software Group) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\UimBus.sys -- (UimBus)
DRV - [2008.02.19 07:33:04 | 000,026,112 | ---- | M] (NCH Swift Sound) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nchssvad.sys -- (NCHSSVAD)
DRV - [2007.12.11 10:52:12 | 000,026,784 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tbhsd.sys -- (tbhsd)
DRV - [2007.05.25 14:25:29 | 000,101,376 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ACEDRV07.sys -- (ACEDRV07)
DRV - [2006.12.14 21:46:30 | 000,097,792 | ---- | M] (Protect Software GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ACEDRV05.sys -- (ACEDRV05)
DRV - [2005.08.30 17:59:00 | 000,094,000 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_mdm.sys -- (ss_mdm)
DRV - [2005.08.30 17:58:56 | 000,008,304 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_mdfl.sys -- (ss_mdfl)
DRV - [2005.08.30 17:57:18 | 000,058,320 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_bus.sys -- (ss_bus) SAMSUNG Mobile USB Device 1.0 driver (WDM)
DRV - [2005.06.17 15:17:48 | 000,352,000 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\camc6hal.sys -- (CAMCHALA)
DRV - [2005.06.17 15:17:00 | 000,038,144 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\camc6aud.sys -- (CAMCAUD)
DRV - [2005.06.10 21:42:40 | 000,005,504 | ---- | M] (Quanta Computer Corp) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BoiHwSetup.sys -- (BoiHwsetup)
DRV - [2005.05.09 15:17:06 | 000,031,360 | ---- | M] (Quanta Computer, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\qkbfiltr.sys -- (qkbfiltr)
DRV - [2005.05.05 14:27:38 | 000,007,936 | ---- | M] (Quanta Computer, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\qmofiltr.sys -- (qmofiltr)
DRV - [2004.12.15 16:19:08 | 001,038,208 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2004.12.15 16:18:34 | 000,207,232 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWICH.sys -- (HSFHWICH)
DRV - [2004.12.15 16:18:28 | 000,703,232 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2004.12.02 16:36:08 | 000,070,912 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys -- (RTL8023xp)
DRV - [2004.08.03 23:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2003.01.29 14:35:00 | 000,012,032 | ---- | M] (TOSHIBA Corporation.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\Netdevio.sys -- (Netdevio)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de"
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.647: c:\program files\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.647: c:\program files\real\realplayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.660: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.660: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.660: c:\program files\real\realplayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011.07.31 09:12:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.08.04 17:28:27 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.07.31 09:13:05 | 000,000,000 | ---D | M]
 
[2011.08.04 17:29:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Mozilla\Extensions
[2011.08.04 17:28:26 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) -- 
[2011.07.31 09:12:29 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\REAL\REALPLAYER\BROWSERRECORDPLUGIN\FIREFOX\EXT
[2010.04.11 22:51:43 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.05.06 11:39:07 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.07.08 09:31:38 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2009.10.26 15:45:36 | 000,102,400 | ---- | M] (Zylom) -- C:\Programme\mozilla firefox\plugins\npzylomgamesplayer.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll (Sonic Solutions)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [SmoothView] C:\Programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\program files\real\realplayer\update\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [Toshiba Hotkey Utility] C:\Programme\Toshiba\Windows Utilities\Hotkey.exe (TOSHIBA Inc.)
O4 - HKCU..\Run: [TOSCDSPD] C:\Programme\Toshiba\TOSCDSPD\TOSCDSPD.exe (TOSHIBA)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: MaxRecentDocs = 13
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Value error.)
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - Reg Error: Key error. File not found
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\jenny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\jenny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.08.08 18:09:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt -  File not found
NetSvcs: HidServ -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 0
 
SafeBootMin: AppMgmt -  File not found
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vds - Service
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: AppMgmt -  File not found
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447)
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015C} - Microsoft DirectX
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codecp.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.dll (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.08.17 16:09:15 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\jenny\Recent
[2011.08.16 19:12:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Avira
[2011.08.16 19:05:32 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2011.08.16 19:05:28 | 000,138,192 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.08.16 19:05:27 | 000,066,616 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2011.08.16 19:05:27 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2011.08.16 19:05:27 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2011.08.16 19:05:16 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2011.08.16 19:05:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2011.08.16 16:55:00 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2011.08.13 17:40:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER
[2011.08.13 16:35:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
[2011.08.13 16:35:39 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2011.08.12 19:48:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2011.08.12 19:48:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Canneverbe Limited
[2011.08.12 19:47:08 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP
[2011.08.11 11:07:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Malwarebytes
[2011.08.11 11:07:42 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.08.11 11:07:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.08.11 11:07:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.08.11 11:07:32 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.08.11 11:07:31 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.07.31 09:12:36 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\xing shared
[2011.07.31 09:11:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Real
[2011.07.19 21:59:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
 
========== Files - Modified Within 30 Days ==========
 
[2011.08.17 18:35:23 | 000,000,270 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-377464674-3397456571-1368138931-1007.job
[2011.08.17 18:35:22 | 000,000,278 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-377464674-3397456571-1368138931-1007.job
[2011.08.17 17:00:11 | 000,000,306 | ---- | M] () -- C:\WINDOWS\tasks\GlaryInitialize.job
[2011.08.17 16:59:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.08.16 17:23:06 | 067,980,144 | ---- | M] () -- C:\Dokumente und Einstellungen\jenny\Eigene Dateien\avira_antivir_personal_de.exe
[2011.08.15 21:48:59 | 000,004,096 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\00000320.LCS
[2011.08.15 21:45:30 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.08.13 14:10:55 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\jenny\defogger_reenable
[2011.08.12 21:21:06 | 000,459,818 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.08.12 21:21:06 | 000,441,880 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.08.12 21:21:06 | 000,085,144 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.08.12 21:21:06 | 000,071,816 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.08.12 21:15:50 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.08.12 19:47:18 | 000,001,576 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk
[2011.08.11 08:02:05 | 000,208,606 | ---- | M] () -- C:\Dokumente und Einstellungen\jenny\Desktop\bookmarks-2011-08-11.json
[2011.08.10 18:53:05 | 000,000,274 | ---- | M] () -- C:\WINDOWS\tasks\wavepadShakeIcon.job
[2011.08.06 09:56:50 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2011.08.04 17:28:37 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Füxchen.lnk
[2011.07.31 09:11:45 | 000,272,896 | ---- | M] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll
[2011.07.29 13:54:59 | 000,274,186 | ---- | M] () -- C:\Dokumente und Einstellungen\jenny\Desktop\V.jpg
[2011.07.25 18:35:11 | 000,378,080 | ---- | M] () -- C:\Dokumente und Einstellungen\jenny\Desktop\Natürliche Antihistaminika.pdf
[2011.07.21 12:11:12 | 000,138,192 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.07.21 12:11:11 | 000,066,616 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
 
========== Files Created - No Company Name ==========
 
[2011.08.16 17:22:46 | 067,980,144 | ---- | C] () -- C:\Dokumente und Einstellungen\jenny\Eigene Dateien\avira_antivir_personal_de.exe
[2011.08.13 14:10:55 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\jenny\defogger_reenable
[2011.08.12 21:10:32 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2011.08.12 19:47:18 | 000,001,576 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk
[2011.08.12 19:47:16 | 000,001,520 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CDBurnerXP.lnk
[2011.08.11 08:02:04 | 000,208,606 | ---- | C] () -- C:\Dokumente und Einstellungen\jenny\Desktop\bookmarks-2011-08-11.json
[2011.08.04 17:28:37 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2011.08.04 17:28:37 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Füxchen.lnk
[2011.07.31 09:13:45 | 000,000,270 | ---- | C] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-377464674-3397456571-1368138931-1007.job
[2011.07.31 09:13:43 | 000,000,278 | ---- | C] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-377464674-3397456571-1368138931-1007.job
[2011.07.29 13:54:24 | 000,274,186 | ---- | C] () -- C:\Dokumente und Einstellungen\jenny\Desktop\V.jpg
[2011.07.25 18:35:11 | 000,378,080 | ---- | C] () -- C:\Dokumente und Einstellungen\jenny\Desktop\Natürliche Antihistaminika.pdf
[2011.06.23 09:41:30 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2011.06.23 09:39:11 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2011.01.02 12:07:41 | 000,000,332 | ---- | C] () -- C:\WINDOWS\desctemp.dat
[2010.10.23 16:41:26 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2010.09.08 17:20:02 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4764.dll
[2010.04.11 19:44:00 | 000,000,018 | ---- | C] () -- C:\WINDOWS\popcinfot.dat
[2010.04.11 19:44:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\popcreg.dat
[2010.01.20 13:45:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.01.13 20:12:16 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2008.03.08 11:47:25 | 000,003,677 | ---- | C] () -- C:\WINDOWS\PlaySnd.INI
[2008.03.08 11:39:07 | 000,000,072 | ---- | C] () -- C:\WINDOWS\MediaManager.INI
[2008.03.06 12:45:51 | 001,012,736 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2008.03.06 12:45:51 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2008.02.19 09:25:17 | 000,006,642 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2008.02.17 20:14:49 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.02.17 14:08:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2008.02.17 10:29:33 | 000,001,024 | ---- | C] () -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\WavCodec.wff
[2008.01.30 23:53:55 | 000,011,138 | ---- | C] () -- C:\WINDOWS\msvrc20.dll
[2007.09.21 17:27:37 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2007.09.21 17:27:37 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2007.09.04 17:08:44 | 000,003,081 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2007.04.08 18:32:47 | 000,000,041 | ---- | C] () -- C:\WINDOWS\System32\fffe5_g.dll
[2007.04.08 18:19:36 | 000,000,019 | ---- | C] () -- C:\WINDOWS\SoundConverter.INI
[2006.07.23 16:11:22 | 000,000,041 | ---- | C] () -- C:\WINDOWS\Filzip.ini
[2006.07.13 18:26:39 | 000,000,101 | ---- | C] () -- C:\WINDOWS\Mensa2.ini
[2006.04.07 10:42:55 | 000,002,560 | ---- | C] () -- C:\WINDOWS\_MSRSTRT.EXE
[2006.03.29 09:42:49 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.03.17 13:55:43 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\jenny\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.03.06 18:47:31 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\jenny\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005.08.09 10:14:00 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.08.09 10:08:14 | 000,006,757 | ---- | C] () -- C:\WINDOWS\TcdsASC2.ini
[2005.08.09 09:53:59 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.08.09 09:38:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NDSTray.INI
[2005.08.09 09:36:23 | 000,000,447 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2005.08.09 09:34:43 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2005.08.09 09:34:43 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2005.08.09 09:34:43 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2005.08.09 09:34:43 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2005.08.09 09:34:43 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2005.08.09 09:34:43 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2005.08.09 09:30:28 | 000,012,402 | ---- | C] () -- C:\WINDOWS\HWSetupStr.ini
[2005.08.09 09:30:28 | 000,002,182 | R--- | C] () -- C:\WINDOWS\SVPW32Str.ini
[2005.08.09 09:24:46 | 000,128,113 | ---- | C] () -- C:\WINDOWS\System32\csellang.ini
[2005.08.09 09:24:46 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\csellang.dll
[2005.08.09 09:24:46 | 000,009,358 | ---- | C] () -- C:\WINDOWS\System32\tosmreg.ini
[2005.08.09 09:24:46 | 000,007,671 | ---- | C] () -- C:\WINDOWS\System32\cseltbl.ini
[2005.08.08 19:03:12 | 000,004,335 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.08.08 19:02:25 | 000,154,768 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2005.08.08 18:13:05 | 000,000,890 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2005.08.08 18:12:02 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2005.08.08 18:07:45 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2005.08.08 17:57:10 | 000,159,744 | ---- | C] () -- C:\WINDOWS\MakeMrk.exe
[2005.08.08 17:57:10 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\ToshBIOS.dll
[2005.08.08 17:57:10 | 000,000,083 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2005.08.08 17:56:57 | 000,459,818 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2005.08.08 17:56:57 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2005.08.08 17:56:57 | 000,085,144 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2005.08.08 17:56:57 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2005.08.08 17:56:46 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2005.08.08 17:56:44 | 000,441,880 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2005.08.08 17:56:44 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2005.08.08 17:56:44 | 000,071,816 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2005.08.08 17:56:44 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2005.08.08 17:56:43 | 000,004,631 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2005.08.08 17:56:41 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2005.08.08 17:56:39 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005.08.08 17:56:37 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2005.08.08 17:56:37 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2005.08.08 17:56:33 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2005.08.08 17:56:24 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.11.11 21:08:36 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\tsbwls.dll
[2003.03.09 22:31:04 | 000,561,152 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll
[1997.06.18 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
[1997.06.18 00:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
 
========== LOP Check ==========
 
[2008.07.29 22:03:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alternate
[2011.06.26 22:29:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
[2011.08.12 19:48:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2009.05.05 22:54:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2010.02.21 12:44:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEGV
[2009.05.06 09:44:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJScan
[2008.05.10 09:54:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Droppix
[2011.01.06 21:01:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeApp
[2008.03.04 11:57:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2011.06.14 08:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IObit
[2008.07.29 22:06:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LDPC
[2008.02.19 09:29:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2010.04.11 13:07:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
[2010.05.05 15:53:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Paragon
[2008.03.04 12:00:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2009.12.14 00:26:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PCPitstop
[2008.02.27 22:23:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
[2007.05.01 08:19:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2008.02.21 10:10:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011.06.26 22:20:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2011.04.04 14:58:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
[2011.06.26 21:28:31 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2010.12.27 19:53:31 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2006.07.23 16:44:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\aicon
[2010.07.26 16:31:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Alexosoft
[2008.07.29 22:03:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Alternate
[2009.10.10 20:25:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Amazon
[2011.08.12 19:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Canneverbe Limited
[2009.05.06 10:20:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Canon
[2006.05.20 13:46:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\DataLayer
[2009.11.12 05:07:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\DeepBurner
[2008.03.06 12:45:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Droppix
[2008.01.23 14:48:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\FMZilla
[2009.01.12 10:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\GlarySoft
[2006.03.27 19:08:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\ICQ
[2006.03.19 21:09:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\InterVideo
[2011.06.14 00:27:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\IObit
[2008.10.12 16:16:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Jpeg Resampler
[2010.01.13 20:10:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Leadertech
[2008.02.19 09:30:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\MAGIX
[2010.04.11 14:27:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\NCH Swift Sound
[2008.03.04 12:00:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Nokia
[2006.03.27 13:27:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Opera
[2008.02.24 14:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Orbit
[2008.03.04 12:02:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\PC Suite
[2008.02.17 10:09:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Recordpad
[2011.06.23 09:43:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Samsung
[2005.08.09 09:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\toshiba
[2011.06.26 21:30:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\TuneUp Software
[2009.12.14 18:51:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\uTorrent
[2011.04.04 14:58:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Zylom
[2011.08.17 17:00:11 | 000,000,306 | ---- | M] () -- C:\WINDOWS\Tasks\GlaryInitialize.job
[2006.03.06 18:45:56 | 000,000,258 | ---- | M] () -- C:\WINDOWS\Tasks\Registrierungserinnerung 1.job
[2011.08.10 18:53:05 | 000,000,274 | ---- | M] () -- C:\WINDOWS\Tasks\wavepadShakeIcon.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2008.01.07 23:01:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Adobe
[2007.01.27 19:31:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\AdobeUM
[2008.05.08 06:57:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Ahead
[2006.07.23 16:44:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\aicon
[2010.07.26 16:31:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Alexosoft
[2008.07.29 22:03:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Alternate
[2009.10.10 20:25:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Amazon
[2011.08.16 19:12:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Avira
[2011.08.12 19:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Canneverbe Limited
[2009.05.06 10:20:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Canon
[2006.05.20 13:46:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\DataLayer
[2009.11.12 05:07:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\DeepBurner
[2008.03.06 12:45:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Droppix
[2008.01.23 14:48:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\FMZilla
[2009.01.12 10:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\GlarySoft
[2006.09.09 11:18:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Help
[2006.09.09 10:56:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Hewlett-Packard
[2006.03.27 19:08:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\ICQ
[2011.04.04 14:58:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Identities
[2006.03.19 21:09:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\InterVideo
[2011.06.14 00:27:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\IObit
[2008.10.12 16:16:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Jpeg Resampler
[2009.01.14 16:58:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Lavasoft
[2010.01.13 20:10:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Leadertech
[2006.03.27 08:07:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Macromedia
[2008.02.19 09:30:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\MAGIX
[2011.08.11 11:07:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Malwarebytes
[2010.11.19 12:30:43 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Microsoft
[2006.03.17 13:22:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Microsoft Web Folders
[2011.08.04 17:29:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Mozilla
[2010.04.11 14:27:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\NCH Swift Sound
[2008.02.17 13:47:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Nero
[2008.03.04 12:00:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Nokia
[2007.03.27 21:55:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\OpenOffice.org2
[2006.03.27 13:27:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Opera
[2008.02.24 14:10:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Orbit
[2008.03.04 12:02:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\PC Suite
[2011.07.31 09:13:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Real
[2008.02.17 10:09:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Recordpad
[2011.06.23 09:43:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Samsung
[2005.08.09 09:37:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Sonic
[2006.03.27 09:03:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Sun
[2006.03.23 21:32:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Symantec
[2005.08.09 09:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\toshiba
[2011.06.26 21:30:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\TuneUp Software
[2009.12.14 18:51:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\uTorrent
[2008.01.29 21:07:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\WinRAR
[2011.04.04 14:58:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Zylom
 
< %APPDATA%\*.exe /s >
[2007.01.27 13:18:01 | 023,813,608 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdr709_de_DE.exe
[2007.05.25 14:25:09 | 000,025,214 | R--- | M] () -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Microsoft\Installer\{0DA5CAC0-6790-4C8E-B18A-036C68756688}\AppName_0DA5CAC067904C8EB18A036C68756688.exe
[2007.05.25 14:25:09 | 000,025,214 | R--- | M] () -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Microsoft\Installer\{0DA5CAC0-6790-4C8E-B18A-036C68756688}\ARPPRODUCTICON.exe
[2010.05.29 12:12:36 | 000,443,912 | ---- | M] (RealNetworks, Inc.) -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Real\Update\setup3.10\setup.exe
[2011.01.25 08:40:49 | 000,510,120 | ---- | M] (RealNetworks, Inc.) -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Real\Update\setup3.13\setup.exe
[2011.07.30 23:06:01 | 000,310,400 | ---- | M] (RealNetworks, Inc.) -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\8.00\rnupgagent.exe
[2011.07.30 23:05:53 | 026,475,664 | ---- | M] (RealNetworks, Inc.) -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\8.00\stub_data\RealPlayer_de.exe
[2011.06.16 13:12:30 | 000,676,624 | ---- | M] (RealNetworks, Inc.) -- C:\Dokumente und Einstellungen\jenny\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\8.00\stub_exe\RealPlayer_de.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\I386\sp2.cab:AGP440.sys
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2009.12.14 20:19:15 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2009.12.14 20:19:15 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\I386\sp2.cab:atapi.sys
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2009.12.14 20:19:15 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2009.12.14 20:19:15 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0003\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2005.03.02 20:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2007.03.08 17:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2005.08.08 20:01:56 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2005.08.08 20:01:56 | 000,638,976 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2005.08.08 20:01:56 | 000,417,792 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A9364E30

< End of report >

cosinus · 17.08.2011, 21:43

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:OTL
@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A9364E30
:Commands
[emptytemp]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Palamedes · 19.08.2011, 19:17

Sooo...
OTL-Fix erledigt. Hatte nach dem Neustart ein paar transparente Word-Icons und einen ebensolchen Ordner auf dem Desktop, die inzwischen aber wieder verschwunden sind, ist das normal?

Hier das Logfile:

Code:

ATTFilter

All processes killed
========== OTL ==========
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A9364E30 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temporary Internet Files folder emptied: 98641 bytes
 
User: All Users
 
User: Besitzer
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: jenny
->Temp folder emptied: 24657024 bytes
->Temporary Internet Files folder emptied: 78566799 bytes
->Java cache emptied: 329693 bytes
->FireFox cache emptied: 45565315 bytes
->Flash cache emptied: 8164 bytes
 
User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32969 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1033340 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 637320 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 144,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.26.1 log created on 08192011_195156

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 19.08.2011, 19:53

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Palamedes · 20.08.2011, 11:52

Hier das Kaspersky-Log:

Code:

ATTFilter

2011/08/20 12:33:42.0656 1752	TDSS rootkit removing tool 2.5.16.0 Aug 19 2011 17:48:17
2011/08/20 12:33:42.0703 1752	================================================================================
2011/08/20 12:33:42.0703 1752	SystemInfo:
2011/08/20 12:33:42.0703 1752	
2011/08/20 12:33:42.0703 1752	OS Version: 5.1.2600 ServicePack: 3.0
2011/08/20 12:33:42.0703 1752	Product type: Workstation
2011/08/20 12:33:42.0703 1752	ComputerName: YOUR-D747912430
2011/08/20 12:33:42.0703 1752	UserName: jenny
2011/08/20 12:33:42.0703 1752	Windows directory: C:\WINDOWS
2011/08/20 12:33:42.0703 1752	System windows directory: C:\WINDOWS
2011/08/20 12:33:42.0703 1752	Processor architecture: Intel x86
2011/08/20 12:33:42.0703 1752	Number of processors: 1
2011/08/20 12:33:42.0703 1752	Page size: 0x1000
2011/08/20 12:33:42.0703 1752	Boot type: Normal boot
2011/08/20 12:33:42.0703 1752	================================================================================
2011/08/20 12:33:44.0421 1752	Initialize success
2011/08/20 12:33:46.0921 2228	================================================================================
2011/08/20 12:33:46.0921 2228	Scan started
2011/08/20 12:33:46.0921 2228	Mode: Manual; 
2011/08/20 12:33:46.0921 2228	================================================================================
2011/08/20 12:33:48.0312 2228	ACEDRV05        (0a1e97197609f92d2425b67da0bb0a7f) C:\WINDOWS\system32\drivers\ACEDRV05.sys
2011/08/20 12:33:48.0390 2228	ACEDRV07        (4e5451dd0aec8504d7f8030dd2d4c416) C:\WINDOWS\system32\drivers\ACEDRV07.sys
2011/08/20 12:33:48.0468 2228	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/08/20 12:33:48.0531 2228	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/08/20 12:33:48.0640 2228	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/08/20 12:33:48.0796 2228	AFD             (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/08/20 12:33:49.0093 2228	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/08/20 12:33:49.0125 2228	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/08/20 12:33:49.0187 2228	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/08/20 12:33:49.0484 2228	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/08/20 12:33:49.0656 2228	avgio           (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/08/20 12:33:49.0703 2228	avgntflt        (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/08/20 12:33:49.0750 2228	avipbb          (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/08/20 12:33:49.0937 2228	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/08/20 12:33:50.0093 2228	BoiHwsetup      (141befbd4f2a84a66e2f54b9e32e40d1) C:\WINDOWS\system32\drivers\BoiHwSetup.sys
2011/08/20 12:33:50.0312 2228	CAMCAUD         (cce1f3c7c8e7383b90372229454999cf) C:\WINDOWS\system32\drivers\camc6aud.sys
2011/08/20 12:33:50.0343 2228	CAMCHALA        (9a3bbde74dab737efa82de7ef4b40bea) C:\WINDOWS\system32\drivers\camc6hal.sys
2011/08/20 12:33:50.0421 2228	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/08/20 12:33:50.0484 2228	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/08/20 12:33:50.0609 2228	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/08/20 12:33:50.0656 2228	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/08/20 12:33:50.0703 2228	CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/08/20 12:33:50.0750 2228	Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/08/20 12:33:50.0953 2228	cpudrv          (d01f685f8b4598d144b0cce9ff95d8d5) C:\Programme\SystemRequirementsLab\cpudrv.sys
2011/08/20 12:33:51.0062 2228	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/08/20 12:33:51.0187 2228	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/08/20 12:33:51.0375 2228	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/08/20 12:33:51.0437 2228	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/08/20 12:33:51.0500 2228	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/08/20 12:33:51.0593 2228	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/08/20 12:33:51.0656 2228	drvmcdb         (96bc8f872f0270c10edc3931f1c03776) C:\WINDOWS\system32\drivers\drvmcdb.sys
2011/08/20 12:33:51.0703 2228	drvnddm         (5afbec7a6ac61b211633dfdb1d9e0c89) C:\WINDOWS\system32\drivers\drvnddm.sys
2011/08/20 12:33:51.0781 2228	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/08/20 12:33:51.0843 2228	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/08/20 12:33:52.0015 2228	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/08/20 12:33:52.0062 2228	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/08/20 12:33:52.0140 2228	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/08/20 12:33:52.0234 2228	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/08/20 12:33:52.0281 2228	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/08/20 12:33:52.0343 2228	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/08/20 12:33:52.0406 2228	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/08/20 12:33:52.0500 2228	hotcore3        (3eca343d21e8639ce448c0af4e119d17) C:\WINDOWS\system32\DRIVERS\hotcore3.sys
2011/08/20 12:33:52.0609 2228	HPZid412        (863cc3a82c63c9f60acf2e85d5310620) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
2011/08/20 12:33:52.0718 2228	HPZipr12        (08cb72e95dd75b61f2966b311d0e4366) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
2011/08/20 12:33:52.0781 2228	HPZius12        (ca990306ed4ef732af9695bff24fc96f) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
2011/08/20 12:33:52.0859 2228	HSFHWICH        (a4877a17e87d6e6ab959b36b9ef3de8a) C:\WINDOWS\system32\DRIVERS\HSFHWICH.sys
2011/08/20 12:33:52.0968 2228	HSF_DPV         (5a8585e84425e823d6cf22515cabf5d0) C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys
2011/08/20 12:33:53.0109 2228	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/08/20 12:33:53.0328 2228	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/08/20 12:33:53.0734 2228	ialm            (2aae7be67911f4aec9ad28e9cfb9096f) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2011/08/20 12:33:54.0234 2228	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/08/20 12:33:54.0343 2228	IntelIde        (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/08/20 12:33:54.0390 2228	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/08/20 12:33:54.0437 2228	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/08/20 12:33:54.0515 2228	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/08/20 12:33:54.0562 2228	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/08/20 12:33:54.0625 2228	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/08/20 12:33:54.0781 2228	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/08/20 12:33:54.0828 2228	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/08/20 12:33:54.0906 2228	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/08/20 12:33:54.0953 2228	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/08/20 12:33:55.0015 2228	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/08/20 12:33:55.0078 2228	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/08/20 12:33:55.0218 2228	mdmxsdk         (3c318b9cd391371bed62126581ee9961) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
2011/08/20 12:33:55.0296 2228	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/08/20 12:33:55.0437 2228	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/08/20 12:33:55.0484 2228	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/08/20 12:33:55.0546 2228	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/08/20 12:33:55.0609 2228	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/08/20 12:33:55.0687 2228	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/08/20 12:33:55.0796 2228	MRxSmb          (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/08/20 12:33:55.0984 2228	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/08/20 12:33:56.0031 2228	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/08/20 12:33:56.0078 2228	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/08/20 12:33:56.0125 2228	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/08/20 12:33:56.0171 2228	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/08/20 12:33:56.0234 2228	Mup             (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/08/20 12:33:56.0296 2228	NCHSSVAD        (fef36e73e1476fde8435144111125f3e) C:\WINDOWS\system32\drivers\nchssvad.sys
2011/08/20 12:33:56.0375 2228	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/08/20 12:33:56.0515 2228	NdisTapi        (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/08/20 12:33:56.0609 2228	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/08/20 12:33:56.0640 2228	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/08/20 12:33:56.0718 2228	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/08/20 12:33:56.0765 2228	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/08/20 12:33:56.0812 2228	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/08/20 12:33:56.0890 2228	Netdevio        (1265eb253ed4ebe4acb3bd5f548ff796) C:\WINDOWS\system32\DRIVERS\netdevio.sys
2011/08/20 12:33:56.0968 2228	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/08/20 12:33:57.0046 2228	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/08/20 12:33:57.0218 2228	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/08/20 12:33:57.0296 2228	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/08/20 12:33:57.0328 2228	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/08/20 12:33:57.0406 2228	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
2011/08/20 12:33:57.0453 2228	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/08/20 12:33:57.0515 2228	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/08/20 12:33:57.0546 2228	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/08/20 12:33:57.0625 2228	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/08/20 12:33:57.0687 2228	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
2011/08/20 12:33:58.0015 2228	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/08/20 12:33:58.0046 2228	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/08/20 12:33:58.0093 2228	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/08/20 12:33:58.0140 2228	qkbfiltr        (c50faa6fda843fa2172aa2b9c3cd1dab) C:\WINDOWS\system32\drivers\qkbfiltr.sys
2011/08/20 12:33:58.0281 2228	qmofiltr        (8652b9e134c3478be948bf089df8ed5e) C:\WINDOWS\system32\drivers\qmofiltr.sys
2011/08/20 12:33:58.0343 2228	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/08/20 12:33:58.0421 2228	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/08/20 12:33:58.0453 2228	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/08/20 12:33:58.0484 2228	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/08/20 12:33:58.0515 2228	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/08/20 12:33:58.0562 2228	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/08/20 12:33:58.0703 2228	RDPWD           (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/08/20 12:33:58.0765 2228	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/08/20 12:33:58.0812 2228	ROOTMODEM       (d8b0b4ade32574b2d9c5cc34dc0dbbe7) C:\WINDOWS\system32\Drivers\RootMdm.sys
2011/08/20 12:33:58.0890 2228	RTL8023xp       (4a0ae7891fcf74acc848b109294cb80f) C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys
2011/08/20 12:33:58.0953 2228	rtl8139         (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/08/20 12:33:59.0015 2228	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/08/20 12:33:59.0125 2228	Serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/08/20 12:33:59.0250 2228	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
2011/08/20 12:33:59.0312 2228	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/08/20 12:33:59.0453 2228	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/08/20 12:33:59.0500 2228	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/08/20 12:33:59.0609 2228	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/08/20 12:33:59.0671 2228	sscdbhk5        (98625722ad52b40305e74aaa83c93086) C:\WINDOWS\system32\drivers\sscdbhk5.sys
2011/08/20 12:33:59.0750 2228	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/08/20 12:33:59.0828 2228	ssrtln          (d79412e3942c8a257253487536d5a994) C:\WINDOWS\system32\drivers\ssrtln.sys
2011/08/20 12:33:59.0890 2228	ss_bus          (bd15182e9d2d3fabc1d1313badbd2415) C:\WINDOWS\system32\DRIVERS\ss_bus.sys
2011/08/20 12:33:59.0953 2228	ss_mdfl         (67d1144f249a3c5e03ebd7a2304dee11) C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys
2011/08/20 12:34:00.0015 2228	ss_mdm          (954b7ce2d54c703d6a8471d6b05a5e13) C:\WINDOWS\system32\DRIVERS\ss_mdm.sys
2011/08/20 12:34:00.0093 2228	StarOpen        (e57b778208c783d8debab320c16a1b82) C:\WINDOWS\system32\drivers\StarOpen.sys
2011/08/20 12:34:00.0187 2228	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/08/20 12:34:00.0296 2228	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/08/20 12:34:00.0531 2228	SynTP           (eb363ddfbe8b6d51003ccab29d93d744) C:\WINDOWS\system32\DRIVERS\SynTP.sys
2011/08/20 12:34:00.0578 2228	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/08/20 12:34:00.0671 2228	tbhsd           (5d8c820e2d885c25ffc6bbc5d4fe073c) C:\WINDOWS\system32\drivers\tbhsd.sys
2011/08/20 12:34:00.0765 2228	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/08/20 12:34:00.0843 2228	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/08/20 12:34:00.0953 2228	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/08/20 12:34:01.0000 2228	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/08/20 12:34:01.0093 2228	tfsnboio        (d0177776e11b0b3f272eebd262a69661) C:\WINDOWS\system32\dla\tfsnboio.sys
2011/08/20 12:34:01.0125 2228	tfsncofs        (599804bc938b8305a5422319774da871) C:\WINDOWS\system32\dla\tfsncofs.sys
2011/08/20 12:34:01.0156 2228	tfsndrct        (a1902c00adc11c4d83f8e3ed947a6a32) C:\WINDOWS\system32\dla\tfsndrct.sys
2011/08/20 12:34:01.0187 2228	tfsndres        (6740bd5e6a73a48e896fe80134aeaad5) C:\WINDOWS\system32\dla\tfsndres.sys
2011/08/20 12:34:01.0234 2228	tfsnifs         (c4f2dea75300971cdaee311007de138d) C:\WINDOWS\system32\dla\tfsnifs.sys
2011/08/20 12:34:01.0265 2228	tfsnopio        (272925be0ea919f08286d2ee6f102b0f) C:\WINDOWS\system32\dla\tfsnopio.sys
2011/08/20 12:34:01.0296 2228	tfsnpool        (7b7d955e5cebc2fb88b03ef875d52a2f) C:\WINDOWS\system32\dla\tfsnpool.sys
2011/08/20 12:34:01.0328 2228	tfsnudf         (e3d01263109d800c1967c12c10a0b018) C:\WINDOWS\system32\dla\tfsnudf.sys
2011/08/20 12:34:01.0375 2228	tfsnudfa        (b9e9c377906e3a65bc74598fff7f7458) C:\WINDOWS\system32\dla\tfsnudfa.sys
2011/08/20 12:34:01.0500 2228	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/08/20 12:34:01.0578 2228	UimBus          (78b63388550028aed6c52f843abf6000) C:\WINDOWS\system32\DRIVERS\UimBus.sys
2011/08/20 12:34:01.0656 2228	Uim_IM          (3412efaf3cb0b6c21818a3c407714ca1) C:\WINDOWS\system32\Drivers\Uim_IM.sys
2011/08/20 12:34:01.0843 2228	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/08/20 12:34:01.0968 2228	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/08/20 12:34:02.0015 2228	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/08/20 12:34:02.0046 2228	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/08/20 12:34:02.0109 2228	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/08/20 12:34:02.0156 2228	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/08/20 12:34:02.0218 2228	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/08/20 12:34:02.0296 2228	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/08/20 12:34:02.0437 2228	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/08/20 12:34:02.0515 2228	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/08/20 12:34:02.0718 2228	w29n51          (f0608f3b5b6d16f4870e867f9d069b6b) C:\WINDOWS\system32\DRIVERS\w29n51.sys
2011/08/20 12:34:03.0015 2228	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/08/20 12:34:03.0109 2228	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/08/20 12:34:03.0250 2228	winachsf        (473ee64c368ce2eed110376c11960259) C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
2011/08/20 12:34:03.0421 2228	MBR (0x1B8)     (671b81004fdd1588fa9ed1331c9ceca9) \Device\Harddisk0\DR0
2011/08/20 12:34:03.0609 2228	Boot (0x1200)   (7cc8157e3ebefa62ce96ca44b7ef21b4) \Device\Harddisk0\DR0\Partition0
2011/08/20 12:34:03.0625 2228	================================================================================
2011/08/20 12:34:03.0625 2228	Scan finished
2011/08/20 12:34:03.0625 2228	================================================================================
2011/08/20 12:34:03.0640 0768	Detected object count: 0
2011/08/20 12:34:03.0640 0768	Actual detected object count: 0
2011/08/20 12:35:33.0734 1868	Deinitialize success

cosinus · 21.08.2011, 13:57

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Palamedes · 22.08.2011, 21:02

Hallo Arne,

habe ComboFix drüberlaufen lassen. Zuerst zeigte das Programm mir an, dass ich angeblich noch "Antivir PersonalEdition Classic Virenschutz" als Real-Time-Scanner aktiviert hätte. Anschließend habe ich sogar Avira Antivir komplett deinstalliert und trotzdem trat die Meldung weiterhin auf. Da ich hier im Forum gelesen hatte, dass es sich hierbei wohl um einen Bug handelt, habe ich Combofix trotzdem drüberlaufen lassen.

Das Programm hat mir gemeldet, dass es um die 60 jpg-Dateien gelöscht hat, kann ich irgendwie herausfinden, wobei es sich da gehandelt hat?

Hier das Log:

Code:

ATTFilter

ComboFix 11-08-22.03 - jenny 22.08.2011  21:24:25.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.502.241 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\jenny\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *Disabled/Updated* {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Disabled/Updated* {804E5358-FFA4-0102-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00EB-0D24-347CA8A3377C}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Desktop\Scanner.lnk
c:\dokumente und einstellungen\jenny\WINDOWS
C:\DSCF0001.JPG
C:\DSCF0002.JPG
C:\DSCF0003.JPG
C:\DSCF0004.JPG
C:\DSCF0005.JPG
C:\DSCF0006.JPG
C:\DSCF0007.JPG
C:\DSCF0008.JPG
C:\DSCF0009.JPG
C:\DSCF0010.JPG
C:\DSCF0011.JPG
C:\DSCF0012.JPG
C:\DSCF0013.JPG
C:\DSCF0014.JPG
C:\DSCF0015.JPG
C:\DSCF0016.JPG
C:\DSCF0017.JPG
C:\DSCF0018.JPG
C:\DSCF0019.JPG
C:\DSCF0020.JPG
C:\DSCF0022.JPG
C:\DSCF0023.JPG
C:\DSCF0024.JPG
C:\DSCF0025.JPG
C:\DSCF0026.JPG
C:\DSCF0027.JPG
C:\DSCF0028.JPG
C:\DSCF0029.JPG
C:\DSCF0030.JPG
C:\DSCF0031.JPG
C:\DSCF0032.JPG
C:\DSCF0033.JPG
C:\DSCF0034.JPG
C:\DSCF0037.JPG
C:\DSCF0038.JPG
C:\DSCF0039.JPG
C:\DSCF0040.JPG
C:\DSCF0041.JPG
C:\DSCF0042.JPG
C:\DSCF0043.JPG
C:\DSCF0044.JPG
C:\DSCF0045.JPG
C:\DSCF0046.JPG
C:\DSCF0047.JPG
C:\DSCF0048.JPG
C:\DSCF0049.JPG
C:\DSCF0050.JPG
C:\DSCF0051.JPG
C:\DSCF0052.JPG
C:\DSCF0053.JPG
C:\DSCF0054.JPG
C:\DSCF0055.JPG
C:\DSCF0056.JPG
C:\DSCF0057.JPG
C:\DSCF0058.JPG
C:\DSCF0059.JPG
C:\DSCF0060.JPG
C:\DSCF0061.JPG
c:\windows\IsUn0407.exe
c:\windows\msvrc20.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-22 bis 2011-08-22  ))))))))))))))))))))))))))))))
.
.
2011-08-19 17:51 . 2011-08-19 17:51	--------	d-----w-	C:\_OTL
2011-08-16 14:55 . 2011-08-16 14:55	--------	d-----w-	c:\programme\ESET
2011-08-13 14:35 . 2011-08-13 14:35	--------	d-----w-	c:\programme\7-Zip
2011-08-12 17:48 . 2011-08-12 17:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2011-08-12 17:48 . 2011-08-12 17:48	--------	d-----w-	c:\dokumente und einstellungen\jenny\Anwendungsdaten\Canneverbe Limited
2011-08-12 17:48 . 2011-06-24 14:10	139656	-c----w-	c:\windows\system32\dllcache\rdpwd.sys
2011-08-12 17:47 . 2011-08-12 17:47	--------	d-----w-	c:\programme\CDBurnerXP
2011-08-12 17:46 . 2011-07-08 14:02	10496	-c----w-	c:\windows\system32\dllcache\ndistapi.sys
2011-08-11 09:07 . 2011-08-11 09:07	--------	d-----w-	c:\dokumente und einstellungen\jenny\Anwendungsdaten\Malwarebytes
2011-08-11 09:07 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-11 09:07 . 2011-08-11 09:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-08-11 09:07 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-11 09:07 . 2011-08-11 09:07	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-08-10 20:33 . 2011-08-10 20:33	--------	d-----w-	c:\windows\system32\wbem\Repository
2011-08-10 20:17 . 2011-08-10 20:32	--------	d-s---w-	c:\dokumente und einstellungen\Administrator
2011-07-31 07:13 . 2011-07-31 07:13	11776	----a-w-	c:\programme\Mozilla Firefox\plugins\nprjplug.dll
2011-07-31 07:12 . 2011-07-31 07:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\xing shared
2011-07-31 07:12 . 2011-07-31 07:12	150712	----a-w-	c:\programme\Mozilla Firefox\plugins\nppl3260.dll
2011-07-31 07:11 . 2011-07-31 07:11	105472	----a-w-	c:\programme\Mozilla Firefox\plugins\nprpjplug.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-15 13:29 . 2005-08-08 15:56	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-07-08 14:02 . 2005-08-08 15:56	10496	----a-w-	c:\windows\system32\drivers\ndistapi.sys
2011-06-24 14:10 . 2005-08-08 16:06	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2011-06-23 18:31 . 2005-08-08 15:56	916480	----a-w-	c:\windows\system32\wininet.dll
2011-06-23 18:31 . 2005-08-08 15:56	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-06-23 18:31 . 2005-08-08 15:56	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-06-23 12:05 . 2005-08-08 15:56	385024	----a-w-	c:\windows\system32\html.iec
2011-06-20 17:44 . 2005-08-08 15:56	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-06-09 05:07 . 2011-06-09 05:07	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-06 11:35 . 2005-08-08 15:56	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-07-08 07:31 . 2011-08-04 15:28	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Toshiba Hotkey Utility"="c:\programme\Toshiba\Windows Utilities\Hotkey.exe" [2005-08-01 1093632]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
"TkBellExe"="c:\program files\real\realplayer\update\realsched.exe" [2011-07-31 273544]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 13 (0xd)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NDSTray.exe"=NDSTray.exe
"CanonMyPrinter"=c:\programme\Canon\MyPrinter\BJMyPrt.exe /logon
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Free Music Zilla\\FMZilla.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gekko Mahjongg (Weihnachts-Edition)\\Mahjongg.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [05.05.2010 15:14 40464]
R2 AdvancedSystemCareService;Advanced SystemCare Service;c:\programme\IObit\Advanced SystemCare 4\ASCService.exe [14.06.2011 00:26 353168]
R2 IS360service;IS360service;c:\programme\IObit\IObit Security 360\is360srv.exe [06.01.2011 21:00 312152]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [19.02.2008 09:27 544768]
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-22 c:\windows\Tasks\GlaryInitialize.job
- c:\programme\Glary Utilities\initialize.exe [2009-01-12 11:51]
.
2011-08-22 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-377464674-3397456571-1368138931-1007.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-03-29 08:47]
.
2011-08-20 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-377464674-3397456571-1368138931-1007.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-03-29 08:47]
.
2006-03-06 c:\windows\Tasks\Registrierungserinnerung 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-08-08 02:22]
.
2011-08-10 c:\windows\Tasks\wavepadShakeIcon.job
- c:\programme\NCH Swift Sound\WavePad\wavepad.exe [2008-02-17 11:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uDefault_Search_URL = hxxp://www.google.com/ie
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to AMV Converter... - c:\programme\MP3 Player Utilities 4.05\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.05\MediaManager\grab.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{8B9AE992-3F47-4B8D-9ECB-97A93117DB7D}: NameServer = 62.109.123.6 213.191.92.87
FF - ProfilePath - c:\dokumente und einstellungen\jenny\Anwendungsdaten\Mozilla\Firefox\Profiles\w7xhjb2a.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Notify-WgaLogon - (no file)
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-PC-Diagnose-Tool - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-22 21:33
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-377464674-3397456571-1368138931-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
@SACL=
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,15"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"
"{208D2C60-3AEA-1069-A2D7-08002B30309D}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,22"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,23"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,24"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="c:\\WINDOWS\\system32\\shell32.dll,-175"
"{21EC2020-3AEA-1069-A2DD-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-137"
"{2227A280-3AEA-1069-A2DE-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-138"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="c:\\WINDOWS\\system32\\shell32.dll,38"
"AudioCD"="c:\\WINDOWS\\System32\\shell32.dll,40"
"{FBF23B42-E3F0-101B-8488-00AA003E56F8}"="c:\\WINDOWS\\system32\\shell32.dll,220"
"{450D8FBA-AD25-11D0-98A8-0800361B1103}"="c:\\WINDOWS\\system32\\mydocs.dll,0"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="c:\\WINDOWS\\system32\\main.cpl,10"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="c:\\WINDOWS\\system32\\wiashext.dll,0"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="c:\\WINDOWS\\system32\\mstask.dll,-100"
"{88C6C381-2E85-11D0-94DE-444553540000}"="c:\\WINDOWS\\System32\\occache.dll,0"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="c:\\WINDOWS\\System32\\shdocvw.dll,-20785"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="c:\\WINDOWS\\System32\\webcheck.dll,0"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="c:\\WINDOWS\\system32\\syncui.dll,0"
.
Zeit der Fertigstellung: 2011-08-22  21:36:32
ComboFix-quarantined-files.txt  2011-08-22 19:36
.
Vor Suchlauf: 20 Verzeichnis(se), 21.164.830.720 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 21.115.428.864 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - B3421B5412E9B71DB7C323EEC832A8DE

cosinus · 23.08.2011, 08:44

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Palamedes · 25.08.2011, 22:31

Hallo Arne,

Ich habe GMER, OSAM und aswMBR wie beschrieben den PC scannen lassen.

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-23 16:18:15
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 TOSHIBA_MK6032GSX rev.AS311G
Running: vjm7w98l.exe; Driver: C:\DOKUME~1\jenny\LOKALE~1\Temp\pgairkob.sys


---- System - GMER 1.0.15 ----

SSDT            F8BBD1C4                                                                                                                 ZwClose
SSDT            F8BBD17E                                                                                                                 ZwCreateKey
SSDT            F8BBD1CE                                                                                                                 ZwCreateSection
SSDT            F8BBD174                                                                                                                 ZwCreateThread
SSDT            F8BBD183                                                                                                                 ZwDeleteKey
SSDT            F8BBD18D                                                                                                                 ZwDeleteValueKey
SSDT            F8BBD1BF                                                                                                                 ZwDuplicateObject
SSDT            F8BBD192                                                                                                                 ZwLoadKey
SSDT            F8BBD160                                                                                                                 ZwOpenProcess
SSDT            F8BBD165                                                                                                                 ZwOpenThread
SSDT            F8BBD19C                                                                                                                 ZwReplaceKey
SSDT            F8BBD197                                                                                                                 ZwRestoreKey
SSDT            F8BBD1D3                                                                                                                 ZwSetContextThread
SSDT            F8BBD188                                                                                                                 ZwSetValueKey
SSDT            F8BBD16F                                                                                                                 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\drivers\ACEDRV05.sys                                                                                 section is writeable [0xA8D43000, 0x30A4A, 0xE8000020]
.pklstb         C:\WINDOWS\system32\drivers\ACEDRV05.sys                                                                                 entry point in ".pklstb" section [0xA8D85000]
.relo2          C:\WINDOWS\system32\drivers\ACEDRV05.sys                                                                                 unknown last section [0xA8DA0000, 0x8E, 0x42000040]
.text           C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                                 section is writeable [0xA8954000, 0x328BA, 0xE8000020]
.pklstb         C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                                 entry point in ".pklstb" section [0xA8998000]
.relo2          C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                                 unknown last section [0xA89B4000, 0x8E, 0x42000040]

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] ntdll.dll!NtCreateKey                                             7C91D0EE 3 Bytes  [FF, 25, 1E]
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] ntdll.dll!NtCreateKey + 4                                         7C91D0F2 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] ntdll.dll!NtSetValueKey                                           7C91DDCE 3 Bytes  [FF, 25, 1E]
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] ntdll.dll!NtSetValueKey + 4                                       7C91DDD2 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] kernel32.dll!LoadLibraryExW + C4                                  7C801BB9 4 Bytes  CALL 018F0001 
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] kernel32.dll!CreateProcessW                                       7C802336 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] kernel32.dll!CreateProcessA                                       7C80236B 6 Bytes  JMP 5F0A0F5A 
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] ADVAPI32.dll!CreateProcessAsUserW                                 77DBA8A9 6 Bytes  JMP 5F100F5A 
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] ADVAPI32.dll!CreateProcessWithLogonW                              77DE5FFD 3 Bytes  [FF, 25, 1E]
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] ADVAPI32.dll!CreateProcessWithLogonW + 4                          77DE6001 2 Bytes  [05, 5F]
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] ADVAPI32.dll!CreateServiceA                                       77E07211 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\Toshiba\Windows Utilities\Hotkey.exe[556] ADVAPI32.dll!CreateServiceW                                       77E073A9 6 Bytes  JMP 5F1C0F5A 
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] ntdll.dll!NtCreateKey                               7C91D0EE 3 Bytes  [FF, 25, 1E]
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] ntdll.dll!NtCreateKey + 4                           7C91D0F2 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] ntdll.dll!NtSetValueKey                             7C91DDCE 3 Bytes  [FF, 25, 1E]
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] ntdll.dll!NtSetValueKey + 4                         7C91DDD2 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] kernel32.dll!LoadLibraryExW + C4                    7C801BB9 4 Bytes  CALL 00BB0001 
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] kernel32.dll!CreateProcessW                         7C802336 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] kernel32.dll!CreateProcessA                         7C80236B 6 Bytes  JMP 5F0A0F5A 
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] ADVAPI32.dll!CreateProcessAsUserW                   77DBA8A9 6 Bytes  JMP 5F100F5A 
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] ADVAPI32.dll!CreateProcessWithLogonW                77DE5FFD 3 Bytes  [FF, 25, 1E]
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] ADVAPI32.dll!CreateProcessWithLogonW + 4            77DE6001 2 Bytes  [05, 5F]
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] ADVAPI32.dll!CreateServiceA                         77E07211 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe[564] ADVAPI32.dll!CreateServiceW                         77E073A9 6 Bytes  JMP 5F1C0F5A 
.text           C:\WINDOWS\system32\hkcmd.exe[588] ntdll.dll!NtCreateKey                                                                 7C91D0EE 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\hkcmd.exe[588] ntdll.dll!NtCreateKey + 4                                                             7C91D0F2 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text           C:\WINDOWS\system32\hkcmd.exe[588] ntdll.dll!NtSetValueKey                                                               7C91DDCE 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\hkcmd.exe[588] ntdll.dll!NtSetValueKey + 4                                                           7C91DDD2 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text           C:\WINDOWS\system32\hkcmd.exe[588] kernel32.dll!LoadLibraryExW + C4                                                      7C801BB9 4 Bytes  CALL 013A0001 
.text           C:\WINDOWS\system32\hkcmd.exe[588] kernel32.dll!CreateProcessW                                                           7C802336 6 Bytes  JMP 5F0D0F5A 
.text           C:\WINDOWS\system32\hkcmd.exe[588] kernel32.dll!CreateProcessA                                                           7C80236B 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\system32\hkcmd.exe[588] ADVAPI32.dll!CreateProcessAsUserW                                                     77DBA8A9 6 Bytes  JMP 5F100F5A 
.text           C:\WINDOWS\system32\hkcmd.exe[588] ADVAPI32.dll!CreateProcessWithLogonW                                                  77DE5FFD 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\hkcmd.exe[588] ADVAPI32.dll!CreateProcessWithLogonW + 4                                              77DE6001 2 Bytes  [05, 5F]
.text           C:\WINDOWS\system32\hkcmd.exe[588] ADVAPI32.dll!CreateServiceA                                                           77E07211 6 Bytes  JMP 5F190F5A 
.text           C:\WINDOWS\system32\hkcmd.exe[588] ADVAPI32.dll!CreateServiceW                                                           77E073A9 6 Bytes  JMP 5F1C0F5A 
.text           C:\WINDOWS\system32\igfxpers.exe[600] ntdll.dll!NtCreateKey                                                              7C91D0EE 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\igfxpers.exe[600] ntdll.dll!NtCreateKey + 4                                                          7C91D0F2 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text           C:\WINDOWS\system32\igfxpers.exe[600] ntdll.dll!NtSetValueKey                                                            7C91DDCE 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\igfxpers.exe[600] ntdll.dll!NtSetValueKey + 4                                                        7C91DDD2 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text           C:\WINDOWS\system32\igfxpers.exe[600] kernel32.dll!LoadLibraryExW + C4                                                   7C801BB9 4 Bytes  CALL 013F0001 
.text           C:\WINDOWS\system32\igfxpers.exe[600] kernel32.dll!CreateProcessW                                                        7C802336 6 Bytes  JMP 5F0D0F5A 
.text           C:\WINDOWS\system32\igfxpers.exe[600] kernel32.dll!CreateProcessA                                                        7C80236B 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\system32\igfxpers.exe[600] ADVAPI32.dll!CreateProcessAsUserW                                                  77DBA8A9 6 Bytes  JMP 5F100F5A 
.text           C:\WINDOWS\system32\igfxpers.exe[600] ADVAPI32.dll!CreateProcessWithLogonW                                               77DE5FFD 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\igfxpers.exe[600] ADVAPI32.dll!CreateProcessWithLogonW + 4                                           77DE6001 2 Bytes  [05, 5F]
.text           C:\WINDOWS\system32\igfxpers.exe[600] ADVAPI32.dll!CreateServiceA                                                        77E07211 6 Bytes  JMP 5F190F5A 
.text           C:\WINDOWS\system32\igfxpers.exe[600] ADVAPI32.dll!CreateServiceW                                                        77E073A9 6 Bytes  JMP 5F1C0F5A 
.text           C:\WINDOWS\system32\igfxext.exe[640] ntdll.dll!NtCreateKey                                                               7C91D0EE 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\igfxext.exe[640] ntdll.dll!NtCreateKey + 4                                                           7C91D0F2 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text           C:\WINDOWS\system32\igfxext.exe[640] ntdll.dll!NtSetValueKey                                                             7C91DDCE 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\igfxext.exe[640] ntdll.dll!NtSetValueKey + 4                                                         7C91DDD2 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text           C:\WINDOWS\system32\igfxext.exe[640] kernel32.dll!LoadLibraryExW + C4                                                    7C801BB9 4 Bytes  CALL 01300001 
.text           C:\WINDOWS\system32\igfxext.exe[640] kernel32.dll!CreateProcessW                                                         7C802336 6 Bytes  JMP 5F0D0F5A 
.text           C:\WINDOWS\system32\igfxext.exe[640] kernel32.dll!CreateProcessA                                                         7C80236B 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\system32\igfxext.exe[640] ADVAPI32.dll!CreateProcessAsUserW                                                   77DBA8A9 6 Bytes  JMP 5F100F5A 
.text           C:\WINDOWS\system32\igfxext.exe[640] ADVAPI32.dll!CreateProcessWithLogonW                                                77DE5FFD 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\igfxext.exe[640] ADVAPI32.dll!CreateProcessWithLogonW + 4                                            77DE6001 2 Bytes  [05, 5F]
.text           C:\WINDOWS\system32\igfxext.exe[640] ADVAPI32.dll!CreateServiceA                                                         77E07211 6 Bytes  JMP 5F190F5A 
.text           C:\WINDOWS\system32\igfxext.exe[640] ADVAPI32.dll!CreateServiceW                                                         77E073A9 6 Bytes  JMP 5F1C0F5A 
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] ntdll.dll!NtCreateKey                                                    7C91D0EE 3 Bytes  [FF, 25, 1E]
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] ntdll.dll!NtCreateKey + 4                                                7C91D0F2 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] ntdll.dll!NtSetValueKey                                                  7C91DDCE 3 Bytes  [FF, 25, 1E]
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] ntdll.dll!NtSetValueKey + 4                                              7C91DDD2 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] kernel32.dll!LoadLibraryExW + C4                                         7C801BB9 4 Bytes  CALL 00920001 
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] kernel32.dll!CreateProcessW                                              7C802336 6 Bytes  JMP 5F0D0F5A 
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] kernel32.dll!CreateProcessA                                              7C80236B 6 Bytes  JMP 5F0A0F5A 
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] ADVAPI32.dll!CreateProcessAsUserW                                        77DBA8A9 6 Bytes  JMP 5F100F5A 
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] ADVAPI32.dll!CreateProcessWithLogonW                                     77DE5FFD 3 Bytes  [FF, 25, 1E]
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] ADVAPI32.dll!CreateProcessWithLogonW + 4                                 77DE6001 2 Bytes  [05, 5F]
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] ADVAPI32.dll!CreateServiceA                                              77E07211 6 Bytes  JMP 5F190F5A 
.text           C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe[656] ADVAPI32.dll!CreateServiceW                                              77E073A9 6 Bytes  JMP 5F1C0F5A 
.text           C:\WINDOWS\system32\ctfmon.exe[664] ntdll.dll!NtCreateKey                                                                7C91D0EE 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\ctfmon.exe[664] ntdll.dll!NtCreateKey + 4                                                            7C91D0F2 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text           C:\WINDOWS\system32\ctfmon.exe[664] ntdll.dll!NtSetValueKey                                                              7C91DDCE 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\ctfmon.exe[664] ntdll.dll!NtSetValueKey + 4                                                          7C91DDD2 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text           C:\WINDOWS\system32\ctfmon.exe[664] kernel32.dll!LoadLibraryExW + C4                                                     7C801BB9 4 Bytes  CALL 00CB0001 
.text           C:\WINDOWS\system32\ctfmon.exe[664] kernel32.dll!CreateProcessW                                                          7C802336 6 Bytes  JMP 5F0D0F5A 
.text           C:\WINDOWS\system32\ctfmon.exe[664] kernel32.dll!CreateProcessA                                                          7C80236B 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\system32\ctfmon.exe[664] ADVAPI32.dll!CreateProcessAsUserW                                                    77DBA8A9 6 Bytes  JMP 5F100F5A 
.text           C:\WINDOWS\system32\ctfmon.exe[664] ADVAPI32.dll!CreateProcessWithLogonW                                                 77DE5FFD 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\ctfmon.exe[664] ADVAPI32.dll!CreateProcessWithLogonW + 4                                             77DE6001 2 Bytes  [05, 5F]
.text           C:\WINDOWS\system32\ctfmon.exe[664] ADVAPI32.dll!CreateServiceA                                                          77E07211 6 Bytes  JMP 5F190F5A 
.text           C:\WINDOWS\system32\ctfmon.exe[664] ADVAPI32.dll!CreateServiceW                                                          77E073A9 6 Bytes  JMP 5F1C0F5A 
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] ntdll.dll!NtCreateKey                                                              7C91D0EE 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] ntdll.dll!NtCreateKey + 4                                                          7C91D0F2 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] ntdll.dll!NtSetValueKey                                                            7C91DDCE 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] ntdll.dll!NtSetValueKey + 4                                                        7C91DDD2 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] kernel32.dll!LoadLibraryExW + C4                                                   7C801BB9 4 Bytes  CALL 014D0001 
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] kernel32.dll!CreateProcessW                                                        7C802336 6 Bytes  JMP 5F0D0F5A 
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] kernel32.dll!CreateProcessA                                                        7C80236B 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] ADVAPI32.dll!CreateProcessAsUserW                                                  77DBA8A9 6 Bytes  JMP 5F100F5A 
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] ADVAPI32.dll!CreateProcessWithLogonW                                               77DE5FFD 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] ADVAPI32.dll!CreateProcessWithLogonW + 4                                           77DE6001 2 Bytes  [05, 5F]
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] ADVAPI32.dll!CreateServiceA                                                        77E07211 6 Bytes  JMP 5F190F5A 
.text           C:\WINDOWS\system32\igfxsrvc.exe[720] ADVAPI32.dll!CreateServiceW                                                        77E073A9 6 Bytes  JMP 5F1C0F5A 
.text           C:\WINDOWS\Explorer.EXE[1884] kernel32.dll!LoadLibraryExW + C4                                                           7C801BB9 4 Bytes  CALL 028C0001 
.text           C:\WINDOWS\Explorer.EXE[1884] kernel32.dll!CreateProcessW                                                                7C802336 6 Bytes  JMP 5F0D0F5A 
.text           C:\WINDOWS\Explorer.EXE[1884] kernel32.dll!CreateProcessA                                                                7C80236B 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\Explorer.EXE[1884] ADVAPI32.dll!CreateProcessAsUserW                                                          77DBA8A9 6 Bytes  JMP 5F100F5A 
.text           C:\WINDOWS\Explorer.EXE[1884] ADVAPI32.dll!CreateProcessWithLogonW                                                       77DE5FFD 3 Bytes  [FF, 25, 1E]
.text           C:\WINDOWS\Explorer.EXE[1884] ADVAPI32.dll!CreateProcessWithLogonW + 4                                                   77DE6001 2 Bytes  [05, 5F]
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] ntdll.dll!NtCreateKey                     7C91D0EE 3 Bytes  [FF, 25, 1E]
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] ntdll.dll!NtCreateKey + 4                 7C91D0F2 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] ntdll.dll!NtSetValueKey                   7C91DDCE 3 Bytes  [FF, 25, 1E]
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] ntdll.dll!NtSetValueKey + 4               7C91DDD2 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] kernel32.dll!LoadLibraryExW + C4          7C801BB9 4 Bytes  CALL 003F0001 
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] kernel32.dll!CreateProcessW               7C802336 6 Bytes  JMP 5F0D0F5A 
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] kernel32.dll!CreateProcessA               7C80236B 6 Bytes  JMP 5F0A0F5A 
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] ADVAPI32.dll!CreateProcessAsUserW         77DBA8A9 6 Bytes  JMP 5F100F5A 
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] ADVAPI32.dll!CreateProcessWithLogonW      77DE5FFD 3 Bytes  [FF, 25, 1E]
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] ADVAPI32.dll!CreateProcessWithLogonW + 4  77DE6001 2 Bytes  [05, 5F]
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] ADVAPI32.dll!CreateServiceA               77E07211 6 Bytes  JMP 5F190F5A 
.text           C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\vjm7w98l.exe[2172] ADVAPI32.dll!CreateServiceW               77E073A9 6 Bytes  JMP 5F1C0F5A 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                   hotcore3.sys (A part of Paragon System Utilities/Paragon Software Group)

Device          \FileSystem\Cdfs \Cdfs                                                                                                   tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- EOF - GMER 1.0.15 ----

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 22:53:58 on 25.08.2011

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 5.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GlaryInitialize.job" - "Glarysoft Ltd" - C:\Programme\Glary Utilities\initialize.exe
"RealUpgradeLogonTaskS-1-5-21-377464674-3397456571-1368138931-1007.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-377464674-3397456571-1368138931-1007.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"wavepadShakeIcon.job" - "NCH Software" - C:\Programme\NCH Swift Sound\WavePad\wavepad.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"HWSETUP.CPL" - "TOSHIBA Corp." - C:\WINDOWS\system32\HWSETUP.CPL
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl
"TOSCDSPD.cpl" - ? - C:\WINDOWS\system32\TOSCDSPD.cpl  (File found, but it contains no detailed information)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ACEDRV05" (ACEDRV05) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\ACEDRV05.sys
"ACEDRV07" (ACEDRV07) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\ACEDRV07.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"Bluetooth Audio Service" (BlueletAudio) - ? - C:\WINDOWS\System32\DRIVERS\blueletaudio.sys  (File not found)
"Bluetooth HID Enumerator" (BTHidEnum) - ? - C:\WINDOWS\System32\Drivers\vbtenum.sys  (File not found)
"Bluetooth HID Manager Service" (BTHidMgr) - ? - C:\WINDOWS\System32\Drivers\BTHidMgr.sys  (File not found)
"Bluetooth PAN Network Adapter" (BT) - ? - C:\WINDOWS\System32\DRIVERS\btnetdrv.sys  (File not found)
"Bluetooth SCO Audio Service" (BlueletSCOAudio) - ? - C:\WINDOWS\System32\DRIVERS\BlueletSCOAudio.sys  (File not found)
"Bluetooth USB For Bluetooth Service" (Btcsrusb) - ? - C:\WINDOWS\System32\Drivers\btcusb.sys  (File not found)
"Bluetooth VComm Manager Service" (VcommMgr) - ? - C:\WINDOWS\System32\Drivers\VcommMgr.sys  (File not found)
"catchme" (catchme) - ? - C:\DOKUME~1\jenny\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"cpudrv" (cpudrv) - ? - C:\Programme\SystemRequirementsLab\cpudrv.sys  (File found, but it contains no detailed information)
"drvmcdb" (drvmcdb) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\drvmcdb.sys
"drvnddm" (drvnddm) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\drvnddm.sys
"hc3ServiceName" (hotcore3) - "Paragon Software Group" - C:\WINDOWS\System32\DRIVERS\hotcore3.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Quanta HotKey Keyboard Filter Driver" (qkbfiltr) - "Quanta Computer, Inc." - C:\WINDOWS\System32\drivers\qkbfiltr.sys
"Quanta HotKey Mouse Filter Driver" (qmofiltr) - "Quanta Computer, Inc." - C:\WINDOWS\System32\drivers\qmofiltr.sys
"SoundTap Recorder" (NCHSSVAD) - "NCH Swift Sound" - C:\WINDOWS\System32\drivers\nchssvad.sys
"sscdbhk5" (sscdbhk5) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\sscdbhk5.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"ssrtln" (ssrtln) - "Sonic Solutions" - C:\WINDOWS\System32\drivers\ssrtln.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"tfsnboio" (tfsnboio) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnboio.sys
"tfsncofs" (tfsncofs) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsncofs.sys
"tfsndrct" (tfsndrct) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsndrct.sys
"tfsndres" (tfsndres) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsndres.sys
"tfsnifs" (tfsnifs) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnifs.sys
"tfsnopio" (tfsnopio) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnopio.sys
"tfsnpool" (tfsnpool) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnpool.sys
"tfsnudf" (tfsnudf) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnudf.sys
"tfsnudfa" (tfsnudfa) - "Sonic Solutions" - C:\WINDOWS\System32\dla\tfsnudfa.sys
"TOSHIBA Network Device Usermode I/O Protocol" (Netdevio) - "TOSHIBA Corporation." - C:\WINDOWS\System32\DRIVERS\netdevio.sys
"Tunebite High-Speed Dubbing" (tbhsd) - "RapidSolution Software AG" - C:\WINDOWS\System32\drivers\tbhsd.sys
"UIM Drive Backup Image Plugin" (Uim_IM) - "Paragon Software Group" - C:\WINDOWS\System32\Drivers\Uim_IM.sys
"Universal Image Mounter Controller" (UimBus) - "Paragon Software Group" - C:\WINDOWS\System32\DRIVERS\UimBus.sys
"Virtual Serial port driver" (VComm) - ? - C:\WINDOWS\System32\DRIVERS\VComm.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{7D4D6379-F301-4311-BEBA-E26EB0561882} "{7D4D6379-F301-4311-BEBA-E26EB0561882}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "mso-offdap" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{2F5AC606-70CF-461C-BFE1-6063670C3484} "DisplayCplExt Class" - "TOSHIBA Inc." - C:\Programme\Toshiba\TouchED\TouchED.DLL
{5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\system32\dla\tfswshx.dll
{B28C18DB-6816-4F31-9630-397683E3C2C3} "Filzip Shell Extension" - ? -   (File not found | COM-object registry key not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{72923739-5A47-40A3-9895-25AF0DFBB9E4} "Glary Utilities Context Menu Shell Extension" - "Glarysoft Ltd" - C:\PROGRA~1\GLARYU~1\CONTEX~1.DLL
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler" - ? -   (File not found | COM-object registry key not found)
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler" - ? -   (File not found | COM-object registry key not found)
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\program files\real\realplayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)
DxRecord Shell Extension "{8BF95282-F6F3-41a5-9423-1EB926E6624F}" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "&Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"eBay" - ? - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe  (File found, but it contains no detailed information)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" - ? -   (File not found | COM-object registry key not found)
<binary data> "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\system32\dla\tfswshx.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\jenny\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"TOSCDSPD" - "TOSHIBA" - C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"SmoothView" - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"TkBellExe" - "RealNetworks, Inc." - "C:\program files\real\realplayer\update\realsched.exe"  -osboot
"Toshiba Hotkey Utility" - "TOSHIBA Inc." - "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"hpzsnt07" - "HP" - C:\WINDOWS\system32\hpzsnt07.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)
"UDC" - ? - udcpm.dll  (File not found)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Advanced SystemCare Service" (AdvancedSystemCareService) - "IObit" - C:\Programme\IObit\Advanced SystemCare 4\ASCService.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"ConfigFree Service" (CFSvcs) - "TOSHIBA CORPORATION" - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"IS360service" (IS360service) - "IObit" - C:\Programme\IObit\IObit Security 360\IS360srv.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NMSAccess" (NMSAccess) - ? - C:\Programme\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"UPnPService" (UPnPService) - "Magix AG" - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Code:

ATTFilter

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-08-25 23:02:55
-----------------------------
23:02:55.687    OS Version: Windows 5.1.2600 Service Pack 3
23:02:55.687    Number of processors: 1 586 0xD08
23:02:55.687    ComputerName: YOUR-D747912430  UserName: jenny
23:02:56.453    Initialize success
23:05:16.187    AVAST engine defs: 11082500
23:05:30.968    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
23:05:30.968    Disk 0 Vendor: TOSHIBA_MK6032GSX AS311G Size: 57231MB BusType: 3
23:05:33.015    Disk 0 MBR read successfully
23:05:33.031    Disk 0 MBR scan
23:05:33.203    Disk 0 unknown MBR code
23:05:33.203    Disk 0 scanning sectors +117194175
23:05:33.468    Disk 0 scanning C:\WINDOWS\system32\drivers
23:05:50.359    Service scanning
23:05:51.921    Modules scanning
23:05:59.640    Disk 0 trace - called modules:
23:05:59.671    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
23:05:59.671    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8235d5e0]
23:05:59.671    3 CLASSPNP.SYS[f8583fd7] -> nt!IofCallDriver -> \Device\00000078[0x82396478]
23:05:59.671    5 ACPI.sys[f84f9620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8235ed98]
23:06:00.453    AVAST engine scan C:\WINDOWS
23:06:08.750    AVAST engine scan C:\WINDOWS\system32
23:09:01.859    AVAST engine scan C:\WINDOWS\system32\drivers
23:09:22.906    AVAST engine scan C:\Dokumente und Einstellungen\jenny
23:13:45.515    AVAST engine scan C:\Dokumente und Einstellungen\All Users
23:14:16.031    Scan finished successfully
23:15:05.796    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\jenny\Desktop\logs aktuell\MBR.dat"
23:15:05.828    The log file has been saved successfully to "C:\Dokumente und Einstellungen\jenny\Desktop\logs aktuell\aswMBR.txt"

cosinus · 26.08.2011, 09:41

Zitat:

23:05:33.203 Disk 0 unknown MBR code

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten, auch wenn normalerweise immer alles glatt geht.
Starte erneut aswMBR und drücke auf den Button FixMBR.
Starte Windows neu und erstelle ein neues Log mit aswmbr.

Palamedes · 26.08.2011, 13:41

So, hier ist das zweite aswMBR-Log. Nach dem Fix erkennt der Scan einen Windows XP default MBR Code.

Code:

ATTFilter

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-08-26 14:21:00
-----------------------------
14:21:00.625    OS Version: Windows 5.1.2600 Service Pack 3
14:21:00.625    Number of processors: 1 586 0xD08
14:21:00.625    ComputerName: YOUR-D747912430  UserName: jenny
14:21:01.062    Initialize success
14:21:19.296    AVAST engine defs: 11082500
14:21:30.765    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
14:21:30.765    Disk 0 Vendor: TOSHIBA_MK6032GSX AS311G Size: 57231MB BusType: 3
14:21:32.781    Disk 0 MBR read successfully
14:21:32.781    Disk 0 MBR scan
14:21:32.921    Disk 0 Windows XP default MBR code
14:21:32.937    Disk 0 scanning sectors +117194175
14:21:33.140    Disk 0 scanning C:\WINDOWS\system32\drivers
14:21:50.671    Service scanning
14:21:52.515    Modules scanning
14:22:04.625    Disk 0 trace - called modules:
14:22:04.656    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
14:22:04.671    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8235d5e0]
14:22:04.671    3 CLASSPNP.SYS[f8583fd7] -> nt!IofCallDriver -> \Device\00000078[0x82396478]
14:22:04.671    5 ACPI.sys[f84f9620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8235ed98]
14:22:05.250    AVAST engine scan C:\WINDOWS
14:22:14.156    AVAST engine scan C:\WINDOWS\system32
14:24:59.312    AVAST engine scan C:\WINDOWS\system32\drivers
14:25:20.406    AVAST engine scan C:\Dokumente und Einstellungen\jenny
14:29:37.812    AVAST engine scan C:\Dokumente und Einstellungen\All Users
14:30:12.093    Scan finished successfully
14:31:18.671    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\MBR.dat"
14:31:18.703    The log file has been saved successfully to "C:\Dokumente und Einstellungen\jenny\Desktop\UKASH TROJANER\aswMBR26.08..txt"

Jashla.exe/UKASH/Bundespolizei-Trojaner

Log-Analyse und Auswertung: Jashla.exe/UKASH/Bundespolizei-Trojaner