Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner w32 patchload.a und TR/Kazy.24148

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.09.2011, 20:43   #16
Oemmel
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Hier der andere:OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 02.09.2011 20:21:19 - Run 1
OTL by OldTimer - Version 3.2.27.0     Folder = C:\Dokumente und Einstellungen\HP_Administrator\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,48 Mb Total Physical Memory | 535,75 Mb Available Physical Memory | 52,40% Memory free
2,40 Gb Paging File | 2,06 Gb Available in Paging File | 85,97% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 291,13 Gb Total Space | 193,89 Gb Free Space | 66,60% Space Free | Partition Type: NTFS
Drive D: | 6,95 Gb Total Space | 1,05 Gb Free Space | 15,16% Space Free | Partition Type: FAT32
Drive F: | 97,65 Gb Total Space | 51,02 Gb Free Space | 52,24% Space Free | Partition Type: NTFS
Drive G: | 48,83 Gb Total Space | 17,12 Gb Free Space | 35,07% Space Free | Partition Type: NTFS
Drive H: | 19,53 Gb Total Space | 0,49 Gb Free Space | 2,51% Space Free | Partition Type: NTFS
Drive M: | 23,90 Gb Total Space | 0,20 Gb Free Space | 0,85% Space Free | Partition Type: NTFS
Drive N: | 465,64 Gb Total Space | 67,37 Gb Free Space | 14,47% Space Free | Partition Type: FAT32
 
Computer Name: ALEX | User Name: HP_Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = ChromeHTML] -- C:\Programme\Google\Chrome\Application\chrome.exe (Google Inc.)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
https [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL Germany
"C:\Programme\ICQLite\ICQLite.exe" = C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite
"C:\Programme\Xfire\xfire.exe" = C:\Programme\Xfire\xfire.exe:*:Enabled:Xfire -- (Xfire Inc.)
"C:\Program Files\WS_FTP\WS_FTP95.exe" = C:\Program Files\WS_FTP\WS_FTP95.exe:*:Enabled:WS_FTP 95 -- (Ipswitch, Inc. 81 Hartwell Ave. Lexington, MA)
"C:\Programme\Valve\Steam\steam.exe" = C:\Programme\Valve\Steam\steam.exe:*:Enabled:Steam -- (Valve Corporation)
"C:\WINDOWS\system32\PnkBstrA.exe" = C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA
"C:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe" = C:\Programme\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) -- ()
"H:\Valve2\hl.exe" = H:\Valve2\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"C:\Programme\Valve\Steam\SteamApps\the_oemmel\half-life deathmatch source\hl2.exe" = C:\Programme\Valve\Steam\SteamApps\the_oemmel\half-life deathmatch source\hl2.exe:*:Enabled:hl2 -- ()
"C:\Programme\Valve\Steam\SteamApps\the_oemmel\half-life 2 deathmatch\hl2.exe" = C:\Programme\Valve\Steam\SteamApps\the_oemmel\half-life 2 deathmatch\hl2.exe:*:Enabled:hl2 -- ()
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- (PeeringPortal)
"C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- (PeeringPortal)
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Dienst "Bonjour"
"C:\Programme\WinTV\WinTV7\WinTV7.exe" = C:\Programme\WinTV\WinTV7\WinTV7.exe:*:Enabled:WinTV7 -- (Hauppauge Computer Works, Inc.)
"C:\Programme\Valve\Steam\SteamApps\the_oemmel\counter-strike source\hl2.exe" = C:\Programme\Valve\Steam\SteamApps\the_oemmel\counter-strike source\hl2.exe:*:Enabled:Counter-Strike: Source -- ()
"C:\xampp\mysql\bin\mysqld.exe" = C:\xampp\mysql\bin\mysqld.exe:*:Enabled:mysqld
"C:\xampp\apache\bin\httpd.exe" = C:\xampp\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server
"C:\Dokumente und Einstellungen\HP_Administrator\Eigene Dateien\Downloads\stinger10.2.0.267.exe" = C:\Dokumente und Einstellungen\HP_Administrator\Eigene Dateien\Downloads\stinger10.2.0.267.exe:*:Enabled:stinger10.2.0.267 -- ()
"C:\Programme\AntiVir PersonalEdition Classic\update.exe" = C:\Programme\AntiVir PersonalEdition Classic\update.exe:*:Enabled:Antivirus Updater -- (Avira GmbH)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Premium
"{02850087-A59F-4782-B8AF-40674752D5F1}" = ATI Catalyst Control Center
"{02B71D92-A84B-4DFB-9A10-D12BB01AC1F2}" = Nokia N73 highlights
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam(TM)
"{069730C2-755A-485B-A205-27A1AAFA836A}" = InstantShareAlert
"{075473F5-846A-448B-BCB3-104AA1760205}" = Sonic RecordNow Data
"{0A65A3BD-54B5-4d0d-B084-7688507813F5}" = SlideShow
"{1341D838-719C-4A05-B50F-49420CA1B4BB}" = HP Boot Optimizer
"{15C0AF59-4877-49B6-B8C6-A61CE54515F5}" = cp_OnlineProjectsConfig
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1943A043-5C85-4A16-A0D0-D687B2C1A40F}" = VirtualCom driver
"{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}" = Google Earth
"{1E05CF2E-BF5F-4A43-9147-2CCBBE57BC3C}_is1" = Mein Gutscheincode Finder 1.0.0.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{21657574-BD54-48A2-9450-EB03B2C7FC29}" = Sonic MyDVD Plus
"{23012310-3E05-46A5-88A9-C6CBCABCAC79}" = Optimierung aufgrund von Kundenerfahrungen
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{2376813B-2E5A-4641-B7B3-A0D5ADB55229}" = HPPhotoSmartExpress
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 26
"{2CCBABCB-6427-4A55-B091-49864623C43F}" = Google Toolbar for Firefox
"{2CE5A2E7-3437-4CE7-BCF4-85ED6EEFF9E4}" = iTunes
"{2EFA4E4C-7B5F-48F7-A1C0-1AA882B7A9C3}" = HP Update
"{2F58D60D-2BFD-4467-9B4D-64E7355C329D}" = Sonic_PrimoSDK
"{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Sonic Update Manager
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{33BF0960-DBA3-4187-B6CC-C969FCFA2D25}" = SkinsHP1
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36D620AD-EEBA-4973-BA86-0C9AE6396620}" = OptionalContentQFolder
"{37DD5BB3-9DB4-4D92-9E50-16F2AD14A317}" = MySQL Server 5.5
"{3B5FEE89-AB5A-4EA9-A3AB-40216ADE225B}" = MovieJack DVD 2
"{41153CDC-08C5-41A3-8FE3-81F7896ED8E1}" = Warenwirtschaftssystem 8.0
"{41E776A5-9B12-416D-9A12-B4F7B044EBED}" = CP_Package_Basic1
"{45B8A76B-57EC-4242-B019-066400CD8428}" = BufferChm
"{45D707E9-F3C4-11D9-A373-0050BAE317E1}" = HP DVD Play 2.1
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{53EE9E42-CECB-4C92-BF76-9CA65DAF8F1C}" = FullDPAppQFolder
"{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}" = Nokia PC Suite
"{59359B3D-ABE7-46BF-AB55-43B67A64DC68}" = Nokia MTP driver
"{5CFD7508-7774-48FE-8280-7A3C0AE71755}" = Internetdienste
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Sonic Express Labeler
"{6696D9A4-28A8-4F5A-8E9A-2E8974C8C39C}" = RandMap
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7184F382-8A6C-4B85-A3AC-B63734B1E241}" = SAMSUNG Mobile USB Driver
"{73E30715-9EC4-4DAE-BE67-64500AEB8012}" = Nokia Nseries Skin for Microsoft Windows Media Player
"{77F5816C-64A6-4FBE-BBE5-52EFE5EB84E8}" = Nokia themes for your device
"{7E84FAC8-C518-40F9-9807-7455301D6D25}" = SamsungConnectivityCableDriver
"{8105684D-8CA6-440D-8F58-7E5FD67A499D}" = Einfache Internetanmeldung
"{82081779-4175-4666-A457-AB711CD37EF0}" = cp_LightScribeConfig
"{829DAAD6-BB11-4BB7-921B-07FFB703F944}" = CP_Package_Variety3
"{82E55892-6FFD-403F-AA97-D726846768AA}" = CP_AtenaShokunin1Config
"{866A0078-DEA7-4348-9C9A-999AF2991EAA}" = SlideShowMusic
"{8A534F71-3202-4464-A422-B767295E67B9}" = CP_Package_Variety2
"{8CE4E6E9-9D55-43FB-9DDB-688C976BFC05}" = Unload
"{93E5A317-24EC-4744-812C-16FECFE86E6A}" = CP_Package_Variety1
"{972B1D9B-0EAD-49E8-B7D6-3B83FD5665B1}" = Nokia Connectivity Cable Driver
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9F7AF7CD-E3D0-4C68-A3BA-C76C359B3AA8}" = LightScribe  1.4.105.1
"{A29800BA-0BF1-4E63-9F31-DF05A87F4104}" = InstantShareDevices
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AB708C9B-97C8-4AC9-899B-DBF226AC9382}" = Sonic RecordNow Audio
"{AC599724-5755-48C1-ABE7-ABB857652930}" = PC Connectivity Solution
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.0 - Deutsch
"{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"{B12665F4-4E93-4AB4-B7FC-37053B524629}" = Sonic RecordNow Copy
"{B2157760-AA3C-4E2E-BFE6-D20BC52495D9}" = cp_PosterPrintConfig
"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works
"{B3FED300-806C-11E0-A0D0-B8AC6F97B88E}" = Google Earth
"{B6286A44-7505-471A-A72B-04EC2DB2F442}" = CueTour
"{B69CFE29-FD03-4E0A-87A7-6ED97F98E5B3}" = CP_Panorama1Config
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1C6767D-B395-43CB-BF99-051B58B86DA6}" = PhotoGallery
"{C3FAA091-B278-44A7-BF48-190811C5F9F7}" = cp_UpdateProjectsConfig
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CCA1EEA3-555E-4D05-AC46-4B49C6C5D887}" = Apple Mobile Device Support
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D45EC259-4A19-4656-B588-C2C360DD18EA}" = Half-Life(R) 2
"{D6DBDC2A-E72C-4284-B6AD-6B3B61B4DABC}" = Far Cry
"{D8CE69B0-9274-4b8c-BA49-0FF6A20A3C65}" = SAMSUNG SYMBIAN USB Download Driver
"{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}" = Apple Application Support
"{DB518BA6-CB74-4EB6-9ABD-880B6D6E1F38}" = HpSdpAppCoreApp
"{DDEDAF6C-488E-4CDA-8276-1CCF5F3C5C32}" = Command & Conquer 3
"{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{ED2C557E-9C18-41FF-B58E-A05EEF0B3B5F}" = CP_CalendarTemplates1
"{EE565795-2776-415A-B31C-EB3A8D7C6FA4}" = Nokia Lifeblog 2.1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F80239D8-7811-4D5E-B033-0D0BBFE32920}" = HP DigitalMedia Archive
"{FB15E224-67C3-491F-9F5C-F257BC418412}" = Destinations
"{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}" = Bonjour
"0852D05415AB9A4F1EF451E342267F76C776ED2F" = Windows-Treiberpaket - Nokia Modem  (11/03/2006 6.82.0.1)
"0C5EDC3653FED5B121F464339EAC12534D253B25" = Windows Driver Package - Nokia Modem  (02/15/2007 3.1)
"1F811665-E818-4956-9173-35CD47C9DCE0" = Otto
"3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F" = Windows-Treiberpaket - Nokia pccsmcfd  (10/12/2007 6.85.4.0)
"6194C28A8F62DD817EA1B918E6E46E806A21B452" = Windows-Treiberpaket - MobileTop (sshpmdm) Modem  (02/23/2007 2.5.0.0)
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"7A1E1C4F-CC6F-4BF0-BB81-7CFC3F655564" = GemMaster Mystic
"Ad-Aware SE Personal" = Ad-Aware SE Personal
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AntiVir PersonalEdition Classic" = Avira AntiVir Personal - Free Antivirus
"ATI Display Driver" = ATI Display Driver
"AutoGK" = Auto Gordian Knot 2.55
"AviSynth" = AviSynth 2.5
"AwayMode160" = Microsoft Away Mode
"BIMPLite" = BIMP Lite 1.62
"CANONBJ_Deinstall_CNMCP53.DLL" = Canon i350
"CloneCD" = CloneCD
"CloneDVD2" = CloneDVD2
"Counter-Strike Source" = Counter-Strike Source
"DivX Setup.divx.com" = DivX-Setup
"DVD-CLONER VII_is1" = DVD-CLONER V7.00 Build 990
"E24870CB6AA1C3511635FF9020A3E9471287FBE7" = Windows-Treiberpaket - MobileTop (sshpmdm) Modem  (01/26/2008 2.6.0.0)
"ESET Online Scanner" = ESET Online Scanner v3
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.7
"Google Chrome" = Google Chrome
"Google Desktop" = Google Desktop
"Google Updater" = Google Updater
"Hauppauge WinTV 7" = Hauppauge WinTV 7
"Hauppauge WinTV Infrared Remote" = Hauppauge WinTV Infrared Remote
"HP Imaging Device Functions" = HP Imaging Device Functions 7.0
"HP Photo & Imaging" = HP Photosmart Premier Software 6.5
"HP Photosmart for Media Center PC" = HP Photosmart for Media Center PC
"HSPA USB MODEM ALCATEL_is1" = HSPA USB MODEM
"HTPE3" = HyperTerminal Private Edition v6.3
"ICQToolbar" = ICQ Toolbar
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"ImageConverter" = ImageConverter 1.0
"InfraRecorder" = InfraRecorder
"InstallShield_{23012310-3E05-46A5-88A9-C6CBCABCAC79}" = Optimierung aufgrund von Kundenerfahrungen
"InstallShield_{5CFD7508-7774-48FE-8280-7A3C0AE71755}" = Internetdienste
"InstallShield_{8105684D-8CA6-440D-8F58-7E5FD67A499D}" = Einfache Internetanmeldung
"InstallShield_{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"InstallShield_{D6DBDC2A-E72C-4284-B6AD-6B3B61B4DABC}" = Far Cry
"InstallShield_{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"Lagerverwaltung" = RE's Lager-Verwaltung Version 1.3
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 6.0 (x86 de)" = Mozilla Firefox 6.0 (x86 de)
"Mozilla Thunderbird (3.1.6)" = Mozilla Thunderbird (3.1.6)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Nokia PC Suite" = Nokia PC Suite
"NVIDIA Drivers" = NVIDIA Drivers
"PC-Doctor 5 for Windows" = PC-Doctor 5 für Windows
"Picasa 3" = Picasa 3
"PokerStars" = PokerStars
"ratDVD" = ratDVD 0.78.1444
"RealPlayer 12.0" = RealPlayer
"SAMSUNG Android USB Modem" = SAMSUNG Android USB Modem Software
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile Modem Device" = Samsung Mobile Modem Device Software
"SAMSUNG Mobile Modem V2" = SAMSUNG Mobile Modem V2 Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Download Driver" = SAMSUNG Mobile USB Download Driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"Samsung Mobile USB Modem Device" = Samsung Mobile USB Modem Device Software
"SAMSUNG USB Mobile Device" = SAMSUNG USB Mobile Device Software
"ShockwaveFlash" = Macromedia Flash Player 8
"Softonic_Deutsch Toolbar" = Softonic_Deutsch Toolbar
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4
"Steam App 260" = Counter-Strike: Source Beta
"Steam App 320" = Half-Life 2: Deathmatch
"Steam App 340" = Half-Life 2: Lost Coast
"Steam App 360" = Half-Life Deathmatch: Source
"Techno4ever Player" = Techno4ever Player
"Techno4ever Toolbar" = Techno4ever Toolbar
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VideoLAN VLC media player 0.8.6
"VobSub" = VobSub v2.23 (Remove Only)
"web2date" = DATA BECKER shop to date 5
"WIC" = Windows Imaging Component
"Windows Lemmings" = Lemmings for Windows 95
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"Winload Toolbar" = Winload Toolbar
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01005" = Microsoft User-Mode Driver Framework Feature Pack 1.5
"Xfire" = Xfire (remove only)
"XviD MPEG4 Video Codec" = XviD MPEG4 Video Codec (remove only)
"Yahoo! Toolbar" = Yahoo! Toolbar
"YTdetect" = Yahoo! Detect
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 13.11.2010 08:14:25 | Computer Name = ALEX | Source = MsiInstaller | ID = 1023
Description = Produkt: Microsoft .NET Framework 1.1 - Update "{2F6EFCE6-10DF-49F9-9E64-9AE3775B2588}"
 konnte nicht installiert werden. Fehlercode 1603. Weitere Informationen sind in
 der Protokolldatei C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\NDP1.1sp1-KB2416447-X86\NDP1.1sp1-KB2416447-X86-msi.0.log
 enthalten.
 
Error - 13.11.2010 08:14:27 | Computer Name = ALEX | Source = NativeWrapper | ID = 5000
Description = 
 
Error - 05.01.2011 14:09:22 | Computer Name = ALEX | Source = MsiInstaller | ID = 1013
Description = Produkt: Microsoft .NET Framework 2.0 -- Setup cannot continue because
 this version of the .NET Framework is incompatible with a previously installed 
one.  For more information, see Error message when you try to install the.NET Framework 2.0 on a computer that has the.NET Framework 2.0 Service Pack 1 installed: "Setup cannot continue because this version of the.NET Framework is incompatible with a previously installed one"
 
Error - 22.08.2011 07:06:54 | Computer Name = ALEX | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung freeware-online-shop-setup.exe, Version 
0.0.0.0, fehlgeschlagenes Modul freeware-online-shop-setup.exe, Version 0.0.0.0,
 Fehleradresse 0x000f85d5.
 
Error - 22.08.2011 07:07:37 | Computer Name = ALEX | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung freeware-online-shop-setup.exe, Version 
0.0.0.0, fehlgeschlagenes Modul freeware-online-shop-setup.exe, Version 0.0.0.0,
 Fehleradresse 0x000f85d5.
 
Error - 25.08.2011 12:13:32 | Computer Name = ALEX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WinTV7.exe, Version 1.0.28110.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 29.08.2011 14:11:12 | Computer Name = ALEX | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung web2date.exe, Version 5.0.0.1572, fehlgeschlagenes
 Modul web2date.exe, Version 5.0.0.1572, Fehleradresse 0x005e273b.
 
Error - 01.09.2011 14:09:00 | Computer Name = ALEX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WinTV7.exe, Version 1.0.28110.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 01.09.2011 14:42:20 | Computer Name = ALEX | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 01.09.2011 14:42:20 | Computer Name = ALEX | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ System Events ]
Error - 02.09.2011 11:15:57 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Dienst "Bonjour"" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%2
 
Error - 02.09.2011 11:15:57 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "DeviceManager" wurde aufgrund folgenden Fehlers nicht 
gestartet:   %%2
 
Error - 02.09.2011 11:15:57 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "FsUsbExService" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%2
 
Error - 02.09.2011 11:15:57 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "HauppaugeTVServer" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%2
 
Error - 02.09.2011 11:15:57 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Java Quick Starter" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%2
 
Error - 02.09.2011 11:15:57 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MySQL" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 02.09.2011 11:15:57 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "PnkBstrA" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 02.09.2011 11:15:59 | Computer Name = ALEX | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   Cdrom  Imapi  IntelIde  ViaIde
 
Error - 02.09.2011 11:17:29 | Computer Name = ALEX | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%2" aufgetreten, als der Dienst "iPod Service"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {063D34A4-BF84-4B8D-B699-E8CA06504DDE}
 
Error - 02.09.2011 11:17:30 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "iPod-Dienst" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
 
< End of report >
         
--- --- ---

Alt 02.09.2011, 22:43   #17
Oemmel
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Ich wurde gerade gefragt ob ich diese Seite vom Internetexplorer zulassen möchte.
Habe dann es geschlossen bzw verneint.
hcp://services/ Von Moderation editiert
__________________


Geändert von Larusso (02.09.2011 um 23:45 Uhr)

Alt 02.09.2011, 23:51   #18
Swisstreasure
/// Malwareteam
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!
__________________

Alt 03.09.2011, 21:16   #19
Oemmel
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Mhhhmmm ein Problem...
Das Programm GMER lief erst für 1-2 Minuten und dann wurde es von alleine wieder geschlossen. Wenn ich wieder auf die exe drücke kommt die meldung: Auf das angegebene Gerät bzw Pfad oder Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.

Und eins ist mir aufgefallen, das AntiVir Programm kann ich weder starten noch sonst was. Der Schirm bleibt immer geschlossen. Vielleicht hilft das noch weiter...

Alt 04.09.2011, 09:09   #20
Swisstreasure
/// Malwareteam
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Schritt 1

Vorbereitung für die Entfernung des Rootkits mit DummyMaker

Lade DummyCreator.zip von farbar herunter und entpacke es auf Deinen Desktop.

Starte das Tool durch Doppelklick.

Kopiere die folgende Zeile in die Textbox:

C:\WINDOWS\1381543154

Drücke auf den Button Create und poste mir den Inhalt von Result.txt.

Wichtig: Starte den Computer neu.

Schritt 2

Versuche nochmals mit GMER zu scannen.


Alt 05.09.2011, 20:31   #21
Oemmel
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



DummyCreator by Farbar
Ran by HP_Administrator (administrator) on 05-09-2011 at 20:29:57
**************************************************************

C:\WINDOWS\1381543154 [05-09-2011 20:29:57]

== End of log ==

Alt 05.09.2011, 23:26   #22
Swisstreasure
/// Malwareteam
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Nun nochmals Gemer versuchen.

Alt 06.09.2011, 00:01   #23
Oemmel
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



So hier den GMER log:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-09-05 23:59:09
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 ST3320820AS rev.3.AHG
Running: m9jwpre6.exe; Driver: C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\uxldrpog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!IoReuseIrp + 8B                                                                        804EF90D 7 Bytes  CALL F77280F5 
.text           atapi.sys                                                                                           F74B884D 7 Bytes  CALL F77238F0 
.text           netbt.sys                                                                                           ACA30000 42 Bytes  [89, 01, 81, 7D, 10, 16, 00, ...]
.text           netbt.sys                                                                                           ACA3002B 32 Bytes  [EC, 10, 8B, 45, 0C, 53, 56, ...]
.text           netbt.sys                                                                                           ACA3004C 44 Bytes  [00, 8B, 47, 18, 8B, 70, 0C, ...]
.text           netbt.sys                                                                                           ACA30079 53 Bytes  [7E, 10, 85, FF, 88, 45, FF, ...]
.text           netbt.sys                                                                                           ACA300AF 22 Bytes  [75, 0C, 8B, 46, 04, 85, C0, ...]
.text           ...                                                                                                 
?               C:\WINDOWS\system32\DRIVERS\netbt.sys                                                               suspicious PE modification

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                              bb-run.sys (Promise Disk Accelerator/Promise Technology, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                             arkbcfltr.sys (Microsoft AR PS/2 Keyboard Filter Driver (Beta 2 Release 2)/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                            bb-run.sys (Promise Disk Accelerator/Promise Technology, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module          (noname) (*** hidden *** )                                                                          F77B0000-F77B9000 (36864 bytes)                                                                    

---- Threads - GMER 1.0.15 ----

Thread          System [4:572]                                                                                      F77B4E80
Thread          System [4:576]                                                                                      F77B4E80
Thread          System [4:580]                                                                                      F7728105
Thread          System [4:584]                                                                                      F7728105

---- Files - GMER 1.0.15 ----

ADS             C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\1381543154:223586221.exe  816 bytes executable
File            C:\WINDOWS\$NtUninstallKB21761$\1339982013                                                          0 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074                                                          0 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\click.tlb                                                2144 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\L                                                        0 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\L\kncnfspb                                               162816 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\loader.tlb                                               2540 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\U                                                        0 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\U\@00000001                                              41360 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\U\@000000c0                                              2560 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\U\@000000cb                                              2048 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\U\@000000cf                                              1536 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\U\@80000000                                              24576 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\U\@800000c0                                              33280 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\U\@800000cb                                              27648 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\U\@800000cf                                              27648 bytes
File            C:\WINDOWS\$NtUninstallKB21761$\4071381074\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}                   2048 bytes
ADS             C:\_OTL\MovedFiles\09022011_143927\D_WINDOWS\1381543154:223586221.exe                               816 bytes executable

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Alt 06.09.2011, 00:28   #24
Swisstreasure
/// Malwareteam
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
  • Schließe alle laufenden Programme.
  • Trenne dich von Internet.
  • Deaktiviere deine AntiViren Software.
  • Starte TDSSkiller.exe mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Drücke auf Start scan.
    Mache während dem Scan nichts am Rechner
    1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
    2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
      Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
  • Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
  • Bitte poste mir den Inhalt hier in deinen Thread.
Bebilderte Anleitung zur Benutzung von TDSSKiller.

Alt 06.09.2011, 09:43   #25
Oemmel
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



2011/09/06 09:37:36.0875 3228 TDSS rootkit removing tool 2.5.18.0 Sep 5 2011 09:53:09
2011/09/06 09:37:36.0890 3228 ================================================================================
2011/09/06 09:37:36.0890 3228 SystemInfo:
2011/09/06 09:37:36.0890 3228
2011/09/06 09:37:36.0890 3228 OS Version: 5.1.2600 ServicePack: 3.0
2011/09/06 09:37:36.0890 3228 Product type: Workstation
2011/09/06 09:37:36.0890 3228 ComputerName: ALEX
2011/09/06 09:37:36.0890 3228 UserName: HP_Administrator
2011/09/06 09:37:36.0890 3228 Windows directory: C:\WINDOWS
2011/09/06 09:37:36.0890 3228 System windows directory: C:\WINDOWS
2011/09/06 09:37:36.0890 3228 Processor architecture: Intel x86
2011/09/06 09:37:36.0890 3228 Number of processors: 2
2011/09/06 09:37:36.0890 3228 Page size: 0x1000
2011/09/06 09:37:36.0890 3228 Boot type: Normal boot
2011/09/06 09:37:36.0890 3228 ================================================================================
2011/09/06 09:37:38.0078 3228 Initialize success
2011/09/06 09:37:46.0531 0332 ================================================================================
2011/09/06 09:37:46.0531 0332 Scan started
2011/09/06 09:37:46.0531 0332 Mode: Manual;
2011/09/06 09:37:46.0531 0332 ================================================================================
2011/09/06 09:37:47.0156 0332 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/09/06 09:37:47.0203 0332 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/09/06 09:37:47.0343 0332 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/09/06 09:37:47.0468 0332 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/09/06 09:37:47.0812 0332 AmdK8 (769844eb65df6a62aa51b886290fe51d) C:\WINDOWS\system32\DRIVERS\AmdK8.sys
2011/09/06 09:37:47.0968 0332 aracpi (00523019e3579c8f8a94457fe25f0f24) C:\WINDOWS\system32\DRIVERS\aracpi.sys
2011/09/06 09:37:48.0062 0332 arhidfltr (9fedaa46eb1a572ac4d9ee6b5f123cf2) C:\WINDOWS\system32\DRIVERS\arhidfltr.sys
2011/09/06 09:37:48.0093 0332 arkbcfltr (82969576093cd983dd559f5a86f382b4) C:\WINDOWS\system32\DRIVERS\arkbcfltr.sys
2011/09/06 09:37:48.0140 0332 armoucfltr (9b21791d8a78faece999fadbebda6c22) C:\WINDOWS\system32\DRIVERS\armoucfltr.sys
2011/09/06 09:37:48.0250 0332 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/09/06 09:37:48.0281 0332 ARPolicy (7a2da7c7b0c524ef26a79f17a5c69fde) C:\WINDOWS\system32\DRIVERS\arpolicy.sys
2011/09/06 09:37:48.0593 0332 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/09/06 09:37:48.0640 0332 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/09/06 09:37:48.0859 0332 ati2mtag (b563e7154db73c2dac72fa08120295cf) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/09/06 09:37:48.0984 0332 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/09/06 09:37:49.0062 0332 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/09/06 09:37:49.0187 0332 avgio (87828ecd657f81503465ac705e845076) C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
2011/09/06 09:37:49.0265 0332 avgntflt (fcb30820bed1d3feb55e3dd55a3f947f) C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
2011/09/06 09:37:49.0437 0332 bb-run (7270d070173b20ac9487ea16bb08b45f) C:\WINDOWS\system32\DRIVERS\bb-run.sys
2011/09/06 09:37:49.0515 0332 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/09/06 09:37:49.0593 0332 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/09/06 09:37:49.0656 0332 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/09/06 09:37:49.0796 0332 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/09/06 09:37:49.0875 0332 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/09/06 09:37:50.0468 0332 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/09/06 09:37:50.0593 0332 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/09/06 09:37:50.0703 0332 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/09/06 09:37:50.0750 0332 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/09/06 09:37:50.0843 0332 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/09/06 09:37:50.0984 0332 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/09/06 09:37:51.0109 0332 ElbyCDFL (0e078ae86965772e84d50ba15d77e63e) C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
2011/09/06 09:37:51.0187 0332 ElbyCDIO (178cc9403816c082d22a1d47fa1f9c85) C:\WINDOWS\system32\Drivers\ElbyCDIO.sys
2011/09/06 09:37:51.0328 0332 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/09/06 09:37:51.0421 0332 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/09/06 09:37:51.0468 0332 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/09/06 09:37:51.0515 0332 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/09/06 09:37:51.0546 0332 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/09/06 09:37:51.0656 0332 FsUsbExDisk (790a4ca68f44be35967b3df61f3e4675) C:\WINDOWS\system32\FsUsbExDisk.SYS
2011/09/06 09:37:51.0828 0332 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/09/06 09:37:51.0906 0332 FTDIBUS (8142d5d886829b9876cb93af59475c09) C:\WINDOWS\system32\drivers\ftdibus.sys
2011/09/06 09:37:51.0984 0332 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/09/06 09:37:52.0031 0332 ftsata2 (22399d3ce5840c6082844679cca5d2fc) C:\WINDOWS\system32\DRIVERS\ftsata2.sys
2011/09/06 09:37:52.0093 0332 FTSER2K (596d31583ce332b5514520d74837f434) C:\WINDOWS\system32\drivers\ftser2k.sys
2011/09/06 09:37:52.0203 0332 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
2011/09/06 09:37:52.0328 0332 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/09/06 09:37:52.0546 0332 gUSBSTOi (e4da2f146f419366d23c1d2614a4aaf0) C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\gUSBSTOi.sys
2011/09/06 09:37:53.0703 0332 HCW88AUD (77a0eff77ed5f4acb3d54e0de3c09c85) C:\WINDOWS\system32\drivers\hcw88aud.sys
2011/09/06 09:37:53.0812 0332 hcw88bda (f9ba6c487215127ae49c7b614c98f91d) C:\WINDOWS\system32\drivers\hcw88bda.sys
2011/09/06 09:37:53.0875 0332 hcw88rc5 (42d6d0bc5276ed9bea75fd61a8596b07) C:\WINDOWS\system32\Drivers\hcw88rc5.sys
2011/09/06 09:37:53.0937 0332 HCW88TSE (a17240f273d3ee76e1a7f3acac61c30d) C:\WINDOWS\system32\drivers\hcw88tse.sys
2011/09/06 09:37:54.0062 0332 hcw88vid (a9b0d64e763449a3bbb5b485b013bd10) C:\WINDOWS\system32\drivers\hcw88vid.sys
2011/09/06 09:37:54.0156 0332 HCW88XBAR (94ec4b1a53c969fe2d9319699e2b17d6) C:\WINDOWS\system32\drivers\HCW88BAR.sys
2011/09/06 09:37:54.0265 0332 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/09/06 09:37:54.0343 0332 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/09/06 09:37:54.0531 0332 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/09/06 09:37:54.0734 0332 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/09/06 09:37:54.0828 0332 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/09/06 09:37:55.0312 0332 IntcAzAudAddService (12f4d2aa29745dc2a403ff42e75cf7fa) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/09/06 09:37:55.0453 0332 IntelIde (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/09/06 09:37:55.0562 0332 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/09/06 09:37:55.0656 0332 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/09/06 09:37:55.0750 0332 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/09/06 09:37:55.0796 0332 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/09/06 09:37:55.0875 0332 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/09/06 09:37:55.0937 0332 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/09/06 09:37:56.0000 0332 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/09/06 09:37:56.0078 0332 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/09/06 09:37:56.0156 0332 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/09/06 09:37:56.0203 0332 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/09/06 09:37:56.0250 0332 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/09/06 09:37:56.0328 0332 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/09/06 09:37:56.0468 0332 MBAMProtector (eca00eed9ab95489007b0ef84c7149de) C:\WINDOWS\system32\drivers\mbam.sys
2011/09/06 09:37:56.0562 0332 MBAMSwissArmy (b18225739ed9caa83ba2df966e9f43e8) C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011/09/06 09:37:56.0656 0332 MHNDRV (7f2f1d2815a6449d346fcccbc569fbd6) C:\WINDOWS\system32\DRIVERS\mhndrv.sys
2011/09/06 09:37:56.0734 0332 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/09/06 09:37:56.0843 0332 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/09/06 09:37:56.0890 0332 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/09/06 09:37:56.0968 0332 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/09/06 09:37:57.0093 0332 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/09/06 09:37:57.0156 0332 MPE (c0f8e0c2c3c0437cf37c6781896dc3ec) C:\WINDOWS\system32\DRIVERS\MPE.sys
2011/09/06 09:37:57.0328 0332 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/09/06 09:37:57.0406 0332 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/09/06 09:37:57.0500 0332 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/09/06 09:37:57.0578 0332 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/09/06 09:37:57.0640 0332 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/09/06 09:37:57.0765 0332 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/09/06 09:37:57.0843 0332 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/09/06 09:37:57.0937 0332 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/09/06 09:37:58.0000 0332 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/09/06 09:37:58.0109 0332 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/09/06 09:37:58.0218 0332 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/09/06 09:37:58.0265 0332 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/09/06 09:37:58.0375 0332 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/09/06 09:37:58.0437 0332 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/09/06 09:37:58.0484 0332 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/09/06 09:37:58.0546 0332 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/09/06 09:37:58.0625 0332 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/09/06 09:37:58.0656 0332 NetBT (3fd903637554667dc3ef40a9c5bf8a24) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/09/06 09:37:58.0671 0332 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\netbt.sys. Real md5: 3fd903637554667dc3ef40a9c5bf8a24, Fake md5: 74b2b2f5bea5e9a3dc021d685551bd3d
2011/09/06 09:37:58.0671 0332 NetBT - detected Rootkit.Win32.ZAccess.c (0)
2011/09/06 09:37:58.0781 0332 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/09/06 09:37:58.0890 0332 nmwcd (696b37ea78f9d9767a2f18ba0304a51a) C:\WINDOWS\system32\drivers\nmwcd.sys
2011/09/06 09:37:58.0968 0332 nmwcdc (bbb6010fc01d9239d88fcdf133e03ff0) C:\WINDOWS\system32\drivers\nmwcdc.sys
2011/09/06 09:37:59.0031 0332 nmwcdcj (4c3726467d67483f054c88f058e9c153) C:\WINDOWS\system32\drivers\nmwcdcj.sys
2011/09/06 09:37:59.0125 0332 nmwcdcm (4c3726467d67483f054c88f058e9c153) C:\WINDOWS\system32\drivers\nmwcdcm.sys
2011/09/06 09:37:59.0203 0332 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/09/06 09:37:59.0250 0332 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/09/06 09:37:59.0328 0332 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/09/06 09:37:59.0375 0332 NVENETFD (22eedb34c4d7613a25b10c347c6c4c21) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
2011/09/06 09:37:59.0437 0332 nvnetbus (5e3f6ad5cad0f12d3cccd06fd964087a) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
2011/09/06 09:37:59.0484 0332 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/09/06 09:37:59.0531 0332 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/09/06 09:37:59.0625 0332 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/09/06 09:37:59.0687 0332 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/09/06 09:37:59.0734 0332 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/09/06 09:37:59.0828 0332 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/09/06 09:37:59.0906 0332 pccsmcfd (175cc28dcf819f78caa3fbd44ad9e52a) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/09/06 09:38:00.0000 0332 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/09/06 09:38:00.0140 0332 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/09/06 09:38:00.0234 0332 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/09/06 09:38:00.0500 0332 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/09/06 09:38:00.0546 0332 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/09/06 09:38:00.0625 0332 Ps2 (390c204ced3785609ab24e9c52054a84) C:\WINDOWS\system32\DRIVERS\PS2.sys
2011/09/06 09:38:00.0671 0332 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/09/06 09:38:00.0734 0332 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/09/06 09:38:00.0781 0332 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/09/06 09:38:00.0859 0332 qcusbser (9ccf89372c5a04e97cd89b58ae697796) C:\WINDOWS\system32\DRIVERS\qcusbser.sys
2011/09/06 09:38:01.0187 0332 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/09/06 09:38:01.0265 0332 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/09/06 09:38:01.0312 0332 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/09/06 09:38:01.0390 0332 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/09/06 09:38:01.0468 0332 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/09/06 09:38:01.0515 0332 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/09/06 09:38:01.0593 0332 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/09/06 09:38:01.0671 0332 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/09/06 09:38:01.0750 0332 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/09/06 09:38:01.0843 0332 rtl8139 (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/09/06 09:38:01.0953 0332 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/09/06 09:38:02.0000 0332 Serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/09/06 09:38:02.0031 0332 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
2011/09/06 09:38:02.0125 0332 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/09/06 09:38:02.0281 0332 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/09/06 09:38:02.0343 0332 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/09/06 09:38:02.0375 0332 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/09/06 09:38:02.0453 0332 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/09/06 09:38:02.0531 0332 ss_bbus (eaa66218cd39f5bb1b4853a78c67c787) C:\WINDOWS\system32\DRIVERS\ss_bbus.sys
2011/09/06 09:38:02.0578 0332 ss_bmdfl (91765f99914ed8693d8bc76524f21581) C:\WINDOWS\system32\DRIVERS\ss_bmdfl.sys
2011/09/06 09:38:02.0625 0332 ss_bmdm (840e7b738b03c10ee91d9b7d3d6eff15) C:\WINDOWS\system32\DRIVERS\ss_bmdm.sys
2011/09/06 09:38:02.0671 0332 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/09/06 09:38:02.0750 0332 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/09/06 09:38:02.0781 0332 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/09/06 09:38:03.0234 0332 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/09/06 09:38:03.0328 0332 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/09/06 09:38:03.0406 0332 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/09/06 09:38:03.0468 0332 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/09/06 09:38:03.0546 0332 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/09/06 09:38:03.0718 0332 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/09/06 09:38:03.0843 0332 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/09/06 09:38:03.0953 0332 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/09/06 09:38:04.0000 0332 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/09/06 09:38:04.0046 0332 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/09/06 09:38:04.0078 0332 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/09/06 09:38:04.0109 0332 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/09/06 09:38:04.0156 0332 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/09/06 09:38:04.0203 0332 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/09/06 09:38:04.0250 0332 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/09/06 09:38:04.0296 0332 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys
2011/09/06 09:38:04.0328 0332 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/09/06 09:38:04.0390 0332 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/09/06 09:38:04.0546 0332 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/09/06 09:38:04.0671 0332 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/09/06 09:38:04.0781 0332 WudfPf (50eb9e21963b4f06fd010d007d54351b) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/09/06 09:38:04.0828 0332 WudfRd (6e209664bdea8a15b5e8e480d6c607c2) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/09/06 09:38:04.0890 0332 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk1\DR1
2011/09/06 09:38:04.0906 0332 MBR (0x1B8) (958338c2d641d56774cebb0acd294050) \Device\Harddisk0\DR0
2011/09/06 09:38:04.0937 0332 Boot (0x1200) (c0ae7c7116442c42a44d62b86470f958) \Device\Harddisk1\DR1\Partition0
2011/09/06 09:38:04.0968 0332 Boot (0x1200) (74597aab83d55f0a0b16337d3fa84482) \Device\Harddisk1\DR1\Partition1
2011/09/06 09:38:04.0984 0332 Boot (0x1200) (d354d024374f5ea7671aec2ca533ddda) \Device\Harddisk1\DR1\Partition2
2011/09/06 09:38:05.0015 0332 Boot (0x1200) (ea2afeae0743cda7dc2d4a8c60c39e9e) \Device\Harddisk1\DR1\Partition3
2011/09/06 09:38:05.0015 0332 Boot (0x1200) (564968d38089310778d2055cb4e09564) \Device\Harddisk0\DR0\Partition0
2011/09/06 09:38:05.0031 0332 Boot (0x1200) (c2120c392fa81cd010624b8d9553c0ff) \Device\Harddisk0\DR0\Partition1
2011/09/06 09:38:05.0031 0332 ================================================================================
2011/09/06 09:38:05.0031 0332 Scan finished
2011/09/06 09:38:05.0031 0332 ================================================================================
2011/09/06 09:38:05.0046 1624 Detected object count: 1
2011/09/06 09:38:05.0046 1624 Actual detected object count: 1
2011/09/06 09:38:45.0687 1624 NetBT (3fd903637554667dc3ef40a9c5bf8a24) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/09/06 09:38:45.0687 1624 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\netbt.sys. Real md5: 3fd903637554667dc3ef40a9c5bf8a24, Fake md5: 74b2b2f5bea5e9a3dc021d685551bd3d
2011/09/06 09:38:46.0312 1624 Backup copy found, using it..
2011/09/06 09:38:46.0312 1624 C:\WINDOWS\system32\DRIVERS\netbt.sys - will be cured after reboot
2011/09/06 09:38:46.0312 1624 Rootkit.Win32.ZAccess.c(NetBT) - User select action: Cure
2011/09/06 09:38:58.0515 3272 Deinitialize success

Alt 06.09.2011, 18:51   #26
Swisstreasure
/// Malwareteam
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Sieht schon gut aus.
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Alt 06.09.2011, 19:56   #27
Oemmel
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



So hier der Log von ComboFix:
Combofix Logfile:
Code:
ATTFilter
ComboFix 11-09-06.03 - HP_Administrator 06.09.2011  19:27:50.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.687 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\HP_Administrator\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\CLI.EXE.da01c7d0.ini.inuse
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\IEActivex.exe.cccdbce.ini
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\Install.exe.446b110b.ini
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\MCInstaller.exe.c95982a.ini
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ngen.exe.2c05686e.ini
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\regasm.exe.11f1da13.ini
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\RegAsm.exe.ca35bcc8.ini
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\RegisterMCEApp.exe.19d07aaf.ini
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SetupMCL.exe.cacc9309.ini
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL62.tmp.65c2a147.ini
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\CLI.EXE.da01c7d0.ini.inuse
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\IEActivex.exe.cccdbce.ini
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\Install.exe.446b110b.ini
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\MCInstaller.exe.c95982a.ini
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ngen.exe.2c05686e.ini
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\regasm.exe.11f1da13.ini
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\RegAsm.exe.ca35bcc8.ini
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\RegisterMCEApp.exe.19d07aaf.ini
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SetupMCL.exe.cacc9309.ini
c:\dokumente und einstellungen\Andere\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL62.tmp.65c2a147.ini
c:\dokumente und einstellungen\Andere\WINDOWS
c:\dokumente und einstellungen\Default User\WINDOWS
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Local
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Local\Temp\DDM\Settings\0.ddi
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Local\Temp\DDM\Settings\ennshlpehq2jy.avi.ddr
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Local\Temp\DDM\Settings\settings.ddi
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\ennshlpehq2jy.avi.ddp
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\cli.exe.da01c7d0.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\CLI.EXE.da01c7d0.ini.inuse
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ehExtHost.exe.fa7bea74.ini.inuse
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ehshell.exe.a87fcbb.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\HPZISMGR.EXE.fd93b670.ini.inuse
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\IEActivex.exe.cccdbce.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\Install.exe.446b110b.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\MCInstaller.exe.c95982a.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ngen.exe.2c05686e.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\ngen.exe.89f695a3.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\regasm.exe.11f1da13.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\RegAsm.exe.ca35bcc8.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\RegisterMCEApp.exe.19d07aaf.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SetupMCL.exe.cacc9309.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SL62.tmp.65c2a147.ini
c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\SLB0.tmp.6099b280.ini
c:\dokumente und einstellungen\HP_Administrator\WINDOWS
c:\windows\$NtUninstallKB21761$
c:\windows\$NtUninstallKB21761$\1339982013
c:\windows\$NtUninstallKB21761$\4071381074\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}
c:\windows\$NtUninstallKB21761$\4071381074\click.tlb
c:\windows\$NtUninstallKB21761$\4071381074\L\kncnfspb
c:\windows\$NtUninstallKB21761$\4071381074\loader.tlb
c:\windows\$NtUninstallKB21761$\4071381074\U\$800000cf
c:\windows\$NtUninstallKB21761$\4071381074\U\@00000001
c:\windows\$NtUninstallKB21761$\4071381074\U\@000000c0
c:\windows\$NtUninstallKB21761$\4071381074\U\@000000cb
c:\windows\$NtUninstallKB21761$\4071381074\U\@000000cf
c:\windows\$NtUninstallKB21761$\4071381074\U\@80000000
c:\windows\$NtUninstallKB21761$\4071381074\U\@800000c0
c:\windows\$NtUninstallKB21761$\4071381074\U\@800000cb
c:\windows\$NtUninstallKB21761$\4071381074\U\@800000cf
c:\windows\1381543154
c:\windows\IsUn0407.exe
c:\windows\kb913800.exe
c:\windows\system32\c_62913.nls
c:\windows\system32\CddbCdda.dll
c:\windows\system32\config\systemprofile\WINDOWS
c:\windows\system32\mxpvct22.dat
c:\windows\system32\win.ini
.
Infizierte Kopie von c:\windows\system32\drivers\mrxsmb.sys wurde gefunden und desinfiziert 
Kopie von - The cat found it :) wurde wiederhergestellt 
Infizierte Kopie von c:\windows\system32\wuauclt.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\dllcache\wuauclt.exe wurde wiederhergestellt 
.
c:\windows\system32\drivers\cdrom.sys fehlte 
Kopie von - c:\windows\system32\dllcache\cdrom.sys wurde wiederhergestellt
.
Infizierte Kopie von c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe wurde gefunden und desinfiziert 
Kopie von - c:\system volume information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091855.exe wurde wiederhergestellt 
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_f2ac5852
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-08-06 bis 2011-09-06  ))))))))))))))))))))))))))))))
.
.
2011-09-06 17:43 . 2011-09-06 17:43	--------	d-----w-	c:\windows\LastGood
2011-09-06 17:39 . 2008-04-13 17:40	62976	----a-w-	c:\windows\system32\drivers\cdrom.sys
2011-09-06 17:23 . 2011-07-15 13:29	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-09-02 18:39 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2011-09-02 18:39 . 2011-09-02 18:39	--------	d-----w-	C:\_OTL
2011-09-02 16:07 . 2011-09-02 16:07	--------	d-----w-	c:\programme\ESET
2011-09-02 16:02 . 2011-09-02 16:02	--------	d-----w-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Malwarebytes
2011-09-02 16:01 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-09-02 16:01 . 2011-09-02 16:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-09-02 16:01 . 2011-09-06 17:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-09-02 16:01 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-09-02 15:15 . 2011-09-06 07:40	43408	--sha-w-	c:\windows\system32\c_62913.nl_
2011-09-02 12:43 . 2011-09-02 12:43	4194304	----a-w-	c:\windows\system32\kncnfspb.dll
2011-09-01 18:54 . 2011-09-02 12:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software
2011-09-01 18:54 . 2011-09-01 18:54	--------	d-----w-	c:\programme\AVAST Software
2011-08-27 19:58 . 2011-08-27 19:58	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-25 13:38 . 2011-08-29 17:08	--------	d-----w-	c:\programme\Lagerverwaltung
2011-08-25 13:24 . 2011-08-25 14:14	--------	d-----w-	c:\programme\Lagerverwaltung 2
2011-08-25 13:24 . 2011-08-25 13:24	80896	----a-w-	c:\windows\cadkasdeinst01.exe
2011-08-23 18:34 . 2011-08-23 18:34	69632	----a-r-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Microsoft\Installer\{41153CDC-08C5-41A3-8FE3-81F7896ED8E1}\NewShortcut8_5D92E9860F56455C9792A4A87885E8A1.exe
2011-08-23 18:34 . 2011-08-23 18:34	69632	----a-r-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Microsoft\Installer\{41153CDC-08C5-41A3-8FE3-81F7896ED8E1}\NewShortcut5_58B068315C954C2583C036F49B03AB45.exe
2011-08-23 18:34 . 2011-08-23 18:34	69632	----a-r-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Microsoft\Installer\{41153CDC-08C5-41A3-8FE3-81F7896ED8E1}\NewShortcut4_41153CDC08C541A38FE381F7896ED8E1.exe
2011-08-23 18:34 . 2011-08-23 18:34	40960	----a-r-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Microsoft\Installer\{41153CDC-08C5-41A3-8FE3-81F7896ED8E1}\NewShortcut6_41153CDC08C541A38FE381F7896ED8E1.exe
2011-08-23 18:32 . 2011-08-23 18:32	--------	d-----w-	c:\programme\Common~1
2011-08-23 18:32 . 2011-08-23 18:32	--------	d-----w-	c:\windows\system32\T1FONTS
2011-08-23 18:29 . 2011-08-23 18:29	--------	d-----w-	C:\Baumann
2011-08-22 14:45 . 2011-08-22 14:45	--------	d-----w-	c:\programme\MySQL
2011-08-22 14:45 . 2011-08-22 14:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MySQL
2011-08-22 13:13 . 2011-08-25 14:16	--------	d-----w-	c:\programme\CAO-Faktura
2011-08-22 11:18 . 2011-08-22 11:18	--------	d-----w-	c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Online Shop 6
2011-08-22 11:07 . 2011-08-25 14:15	--------	d-----w-	c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\Winload
2011-08-22 11:07 . 2011-08-22 11:08	--------	d-----w-	c:\programme\Winload
2011-08-22 11:06 . 2011-08-22 11:07	--------	d-----w-	c:\programme\Mein Gutscheincode Finder
2011-08-20 15:05 . 2011-08-20 15:05	2106216	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2011-08-20 15:05 . 2011-08-20 15:05	1998168	----a-w-	c:\programme\Mozilla Firefox\d3dx9_43.dll
2011-08-14 13:17 . 2011-06-24 14:10	139656	------w-	c:\windows\system32\dllcache\rdpwd.sys
2011-08-14 13:03 . 2011-07-08 14:02	10496	------w-	c:\windows\system32\dllcache\ndistapi.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-06 07:39 . 2004-08-10 04:00	162816	----a-w-	c:\windows\system32\drivers\netbt.sys
2011-07-08 14:02 . 2004-08-10 04:00	10496	----a-w-	c:\windows\system32\drivers\ndistapi.sys
2011-06-24 14:10 . 2004-08-10 04:00	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2011-06-23 18:31 . 2004-08-10 04:00	916480	----a-w-	c:\windows\system32\wininet.dll
2011-06-23 18:31 . 2004-08-10 04:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-06-23 18:31 . 2004-08-10 04:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2011-06-23 12:05 . 2004-08-10 04:00	385024	----a-w-	c:\windows\system32\html.iec
2011-06-20 17:44 . 2004-08-10 04:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-08-20 15:05 . 2011-06-03 13:50	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{fb7d98cb-b228-4ecb-acac-e7101156338e}"= "c:\programme\Techno4ever\tbTec1.dll" [2010-11-02 2735200]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\programme\Softonic_Deutsch\prxtbSof2.dll" [2011-01-17 175912]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\programme\Winload\prxtbWinl.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{fb7d98cb-b228-4ecb-acac-e7101156338e}]
.
[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}]
2011-06-22 03:02	252832	----a-w-	c:\programme\Mein Gutscheincode Finder\Internet Explorer\x86\ConversionOneIE.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54	175912	----a-w-	c:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
2011-01-17 14:54	175912	----a-w-	c:\programme\Winload\prxtbWinl.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
2011-01-17 14:54	175912	----a-w-	c:\programme\Softonic_Deutsch\prxtbSof2.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fb7d98cb-b228-4ecb-acac-e7101156338e}]
2010-11-02 13:31	2735200	----a-w-	c:\programme\Techno4ever\tbTec1.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{fb7d98cb-b228-4ecb-acac-e7101156338e}"= "c:\programme\Techno4ever\tbTec1.dll" [2010-11-02 2735200]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\programme\Softonic_Deutsch\prxtbSof2.dll" [2011-01-17 175912]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\programme\Winload\prxtbWinl.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{fb7d98cb-b228-4ecb-acac-e7101156338e}]
.
[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{FB7D98CB-B228-4ECB-ACAC-E7101156338E}"= "c:\programme\Techno4ever\tbTec1.dll" [2010-11-02 2735200]
"{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C}"= "c:\programme\Softonic_Deutsch\prxtbSof2.dll" [2011-01-17 175912]
"{40C3CC16-7269-4B32-9531-17F2950FB06F}"= "c:\programme\Winload\prxtbWinl.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{fb7d98cb-b228-4ecb-acac-e7101156338e}]
.
[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"HPBootOp"="c:\programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 249856]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-25 266497]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-11-28 198160]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AutoStart IR.lnk - c:\programme\WinTV\Ir.exe [2011-1-5 117344]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
WinTV Recording Status..lnk - c:\programme\WinTV\WinTV7\WinTVTray.exe [2011-1-5 83456]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^HP_Administrator^Startmenü^Programme^Autostart^Xfire.lnk]
path=c:\dokumente und einstellungen\HP_Administrator\Startmenü\Programme\Autostart\Xfire.lnk
backup=c:\windows\pss\Xfire.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlwaysReady Power Message APP]
2005-08-02 22:19	77312	------w-	c:\windows\arpwrmsg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2009-10-08 10:01	107864	----a-w-	c:\programme\Samsung\Samsung New PC Studio\NPSAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
2001-12-06 12:09	45056	----a-w-	c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2002-04-15 08:12	57344	----a-w-	c:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivX Download Manager]
2010-12-08 21:15	63360	----a-w-	c:\programme\DivX\DivX Plus Web Player\DDMService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-12-09 19:28	1226608	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMAScheduler]
2006-04-13 08:05	90112	----a-w-	c:\programme\HP DigitalMedia Archive\DMAScheduler.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
2005-08-05 19:34	64512	----a-w-	c:\windows\ehome\ehtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ftutil2]
2004-06-07 12:05	106496	----a-w-	c:\windows\system32\ftutil2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
2007-04-19 13:35	220160	----a-w-	c:\programme\Google\Google Desktop Search\GoogleDesktop.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	----a-w-	c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
2007-03-23 11:20	227328	----a-w-	c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
2008-08-21 01:18	443968	----a-w-	c:\programme\Picasa2\PicasaMediaDetector.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17	421888	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]
2005-07-22 21:14	237568	----a-w-	c:\windows\SMINST\Recguard.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-07-21 23:56	16261632	----a-w-	c:\windows\RTHDCPL.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 12:11	25623336	----a-r-	c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2005-05-30 23:04	1415824	----a-w-	c:\programme\Spybot - Search & Destroy\TeaTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2011-08-14 12:56	1242448	----a-w-	c:\programme\Valve\Steam\Steam.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-05-04 12:39	68856	----a-w-	c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-11-28 01:35	198160	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Xfire\\xfire.exe"=
"c:\\Program Files\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Valve\\Steam\\steam.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"h:\\Valve2\\hl.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\the_oemmel\\half-life deathmatch source\\hl2.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\the_oemmel\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\WinTV\\WinTV7\\WinTV7.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\the_oemmel\\counter-strike source\\hl2.exe"=
"c:\\Dokumente und Einstellungen\\HP_Administrator\\Eigene Dateien\\Downloads\\stinger10.2.0.267.exe"=
"c:\\Programme\\AntiVir PersonalEdition Classic\\update.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
.
R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [05.01.2011 20:02 13440]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [06.09.2011 19:40 366640]
R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [05.01.2011 20:01 216576]
R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\drivers\hcw88rc5.sys [05.01.2011 20:01 12288]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [05.01.2011 20:02 321280]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [05.01.2011 20:01 396928]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [05.01.2011 20:01 17920]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [02.09.2011 18:01 22712]
S2 DeviceManager;DeviceManager;c:\programme\Gemeinsame Dateien\DeviceHelper\DeviceManager.exe -start --> c:\programme\Gemeinsame Dateien\DeviceHelper\DeviceManager.exe -start [?]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe --> c:\windows\system32\FsUsbExService.Exe [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 14:26 135664]
S2 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\TVServer\HAUPPA~1.EXE --> c:\progra~1\WinTV\TVServer\HAUPPA~1.EXE [?]
S2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe --> c:\programme\ICQ6Toolbar\ICQ Service.exe [?]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [29.07.2010 19:20 36608]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 14:26 135664]
S3 gUSBSTOi;gUSBSTOi;\??\c:\dokume~1\HP_ADM~1\LOKALE~1\Temp\gUSBSTOi.sys --> c:\dokume~1\HP_ADM~1\LOKALE~1\Temp\gUSBSTOi.sys [?]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [02.09.2011 18:01 41272]
S3 qcusbser;Modem Interface USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbser.sys [14.11.2009 18:25 103552]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [29.07.2010 19:21 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [29.07.2010 19:21 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [29.07.2010 19:21 121856]
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-09-06 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-31 12:15]
.
2011-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 12:26]
.
2011-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 12:26]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\b2l3qq4v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-63981250.sys
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe
MSConfigStartUp-MediaGet2 - c:\dokumente und einstellungen\HP_Administrator\Lokale Einstellungen\Anwendungsdaten\MediaGet2\mediaget.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\UninstFl.exe
AddRemove-web2date - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-09-06 19:49
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"c:\programme\MySQL\MySQL Server 5.5\bin\mysqld\" --defaults-file=\"c:\programme\MySQL\MySQL Server 5.5\my.ini\" MySQL"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1517635286-910970031-1826383466-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:65,72,fd,65,a1,a0,3a,80,cb,6a,3e,bd,07,d0,9f,0b,d0,ca,77,46,9b,2f,5c,
   d9,18,09,d5,17,1c,b8,97,6f,44,56,b7,f5,8d,e6,53,a2,e4,a8,02,ca,21,fc,d0,32,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(736)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3296)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\arservice.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\wscntfy.exe
c:\hp\KBD\KBD.EXE
c:\windows\system\hpsysdrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-09-06  19:53:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-09-06 17:53
.
Vor Suchlauf: 13 Verzeichnis(se), 208.806.293.504 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 211.915.165.696 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 7C7865D419C0044D9C6C03EAA57B96AE
         
--- --- ---

Alt 06.09.2011, 21:28   #28
Swisstreasure
/// Malwareteam
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Wie läuft das System?

Alt 06.09.2011, 23:06   #29
Swisstreasure
/// Malwareteam
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Durchsuchen
  • Kopiere nun folgendes in die Suchleiste.
    Code:
    ATTFilter
    c:\windows\system32\kncnfspb.dll
             
  • und klicke auf Öffnen.
  • Klicke auf Send File.
Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
Zitat:
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Geändert von Swisstreasure (06.09.2011 um 23:21 Uhr)

Alt 07.09.2011, 20:14   #30
Oemmel
 
Trojaner w32 patchload.a und TR/Kazy.24148 - Standard

Trojaner w32 patchload.a und TR/Kazy.24148



Das System läuft soweit stabil, bis auf das ich immer noch nicht AntiVir starten kann, der Schirm bleibt immer geschlossen. Werde jetzt Virustotal scannen lassen.

Antwort

Themen zu Trojaner w32 patchload.a und TR/Kazy.24148
anmeldung, antivir, bitte um hilfe, großes, hallo zusammen, heute, meldung, neu, nicht mehr, problem, rechner, schonmal, sofort, starte, startet, troja, trojaner, w32, windows, windows xp, zusammen



Ähnliche Themen: Trojaner w32 patchload.a und TR/Kazy.24148


  1. Deutsche Post Mail-Attacke - Live Platinum Trojaner + Kazy Trojaner
    Log-Analyse und Auswertung - 02.10.2012 (5)
  2. Trojan.Sirefef-411 in services.exe u. Trojan.Patchload in \adsldpc.dll, \aaclient.dll, \adsmsext.dll
    Log-Analyse und Auswertung - 05.08.2012 (12)
  3. W32/PatchLoad.A und weitere Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (8)
  4. W32/patchload.a vom PC entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.01.2012 (6)
  5. W32/patchload.a vom PC entfernen
    Alles rund um Windows - 30.12.2011 (5)
  6. W32 Patchload.a und weitere Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 30.12.2011 (3)
  7. Trojaner w32 patchload.a
    Plagegeister aller Art und deren Bekämpfung - 27.12.2011 (115)
  8. W32/patchload.a entfernen
    Plagegeister aller Art und deren Bekämpfung - 22.11.2011 (8)
  9. Patchload.A ZAccess.EA Crypt.XPACK.Gen stören massiv das System!
    Log-Analyse und Auswertung - 20.11.2011 (18)
  10. Patchload.O eingefangen
    Plagegeister aller Art und deren Bekämpfung - 19.11.2011 (37)
  11. Mehrere Viren - kazy.mekml1, kazy.20967, crypt.zpack.gen,... Win Vista
    Plagegeister aller Art und deren Bekämpfung - 25.10.2011 (3)
  12. Virusbefall mit "patchload.o" lt. Security Essentials
    Plagegeister aller Art und deren Bekämpfung - 14.10.2011 (10)
  13. TR/Kazy.mekml.1 ; 'TR/FakeSysdef.A.621 ; 'TR/Kazy.22847'..
    Log-Analyse und Auswertung - 15.05.2011 (33)
  14. Kazy.mekml1 und TR/Kazy.22376.3
    Log-Analyse und Auswertung - 14.05.2011 (7)
  15. Trojaner kazy.mekml.1 Avira meldet Trojaner schwarzer Bildschirm nichts geht mehr
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (22)
  16. Osterei: TR/Kazy.mekml.1 und TR/Kazy.20364
    Log-Analyse und Auswertung - 25.04.2011 (1)
  17. TR/PatchLoad.29295.1.2 ein Virus?
    Plagegeister aller Art und deren Bekämpfung - 13.05.2010 (6)

Zum Thema Trojaner w32 patchload.a und TR/Kazy.24148 - Hier der andere:OTL EXTRAS Logfile: Code: Alles auswählen Aufklappen ATTFilter OTL Extras logfile created on: 02.09.2011 20:21:19 - Run 1 OTL by OldTimer - Version 3.2.27.0 Folder = C:\Dokumente und - Trojaner w32 patchload.a und TR/Kazy.24148...
Archiv
Du betrachtest: Trojaner w32 patchload.a und TR/Kazy.24148 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.