Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.09.2011, 00:28   #1
shh
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



Hallo!
ich habe ein Problem mit dem Entseuchen eines Rechners. Andere Trojaner und Rootkits konnte ich mittels GMER/Rkill/Malwarebyte'sAnti-MalMare schon bereinigen, hier beiße ich mir aber die Zähne aus.
System: Windows 7 32bit
Problem:
- MBR ist i.O.
- Virenscanner zeigen nichts (zu richten) an
- Rkill zeigt nichts (weiteres zu killen) an
- Malwarebyte'sAnti-MalMare zeigt nichts (zu richten) an
- GMER erkennt keinen Rootkit. Aber erkennt unter "Sections" Verbiegungen, die, wenn ich Recode ausführe, zum Absturz führen (-> MEMORY_ERROR o.ä.)
- ESET Online Scanner bekommt per Internet keine updates

Mittlerweile habe ich den SPTD-Treiber 1.78 von Deamon-Tools entfernt/deinstalliert, trotzdem sind noch versteckte(?) Registry-Einträge im sptd-services-Zweig. Jetzt weiß ich aber nicht, ob das (einfach "nur") ein Sekundärproblem ist. Möglicherweise war das das Einfallstor.
Jedenfalls läuft hier etwas, was alle neuen Programme hooked, die gestartet werden - was man mit einem GMER(Sections)-Scan recht leicht sieht.
Bitte um Hilfe!
LOGS: (Benutzername -> *USERNAME*)
catchme bringt folgendes:
Code:
ATTFilter
disk not found C:\
detected NTDLL code modification:
ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error
         
GMER:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-09-02 01:44:41
Windows 6.1.7601 Service Pack 1 
Running: j9nc21vb.exe; Driver: C:\Users\*USERNAME*\AppData\Local\Temp\pwlirpog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!ZwSaveKey + 13D1             82A86349 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2    82ABFD52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text  C:\Windows\system32\DRIVERS\atikmdag.sys  section is writeable [0x90E01000, 0x227A14, 0xE8000020]
.text  peauth.sys                                95353C9D 28 Bytes  JMP BAC16E34 
.text  peauth.sys                                95353CC1 28 Bytes  JMP BAC16E58 
PAGE   spsys.sys!?SPRevision@@3PADA + 4F90       978D8000 290 Bytes  [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE   spsys.sys!?SPRevision@@3PADA + 50B3       978D8123 629 Bytes  [35, 8D, 97, FE, 05, 34, 35, ...]
PAGE   spsys.sys!?SPRevision@@3PADA + 5329       978D8399 101 Bytes  [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE   spsys.sys!?SPRevision@@3PADA + 538F       978D83FF 148 Bytes  [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE   spsys.sys!?SPRevision@@3PADA + 543B       978D84AB 2228 Bytes  [8B, FF, 55, 8B, EC, FF, 75, ...]
PAGE   ...                     
                  
---- EOF - GMER 1.0.15 ----
         
OTL offline scan
Code:
ATTFilter
OTLOTL logfile created on: 9/2/2011 1:34:09 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows 7 Ultimate Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\Windows | %ProgramFiles% = D:\Program Files
Drive C: | 100.00 Mb Total Space | 75.48 Mb Free Space | 75.48% Space Free | Partition Type: NTFS
Drive D: | 74.43 Gb Total Space | 45.00 Gb Free Space | 60.47% Space Free | Partition Type: NTFS
Drive E: | 7.46 Gb Total Space | 1.02 Gb Free Space | 13.61% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Drive Z: | 1790.47 Gb Total Space | 42.85 Gb Free Space | 2.39% Space Free | Partition Type: NTFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011/06/19 16:35:24 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand] -- D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2011/06/06 06:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto] -- D:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2009/07/13 21:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/13 21:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009/07/13 21:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto] -- D:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (VGPU)
DRV - File not found [Kernel | System] --  -- (MpKslbcb21994)
DRV - File not found [Kernel | System] --  -- (MpKslb0e0a44c)
DRV - File not found [Kernel | System] --  -- (MpKslab995045)
DRV - File not found [Kernel | System] --  -- (MpKsl760ca118)
DRV - File not found [Kernel | System] --  -- (MpKsl069b7191)
DRV - File not found [Kernel | On_Demand] --  -- (catchme)
DRV - [2010/11/20 17:29:34 | 000,015,872 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)
DRV - [2010/11/20 17:29:24 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010/11/20 17:29:03 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\system32\drivers\vmbus.sys -- (vmbus)
DRV - [2010/11/20 17:29:03 | 000,112,640 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - [2010/11/20 17:29:03 | 000,077,184 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\Synth3dVsc.sys -- (Synth3dVsc)
DRV - [2010/11/20 17:29:03 | 000,062,464 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\system32\drivers\dmvsc.sys -- (dmvsc)
DRV - [2010/11/20 17:29:03 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- D:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010/11/20 17:29:03 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010/11/20 17:29:03 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\system32\drivers\storvsc.sys -- (storvsc)
DRV - [2010/11/20 17:29:03 | 000,027,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\system32\drivers\TsUsbGD.sys -- (TsUsbGD)
DRV - [2010/11/20 17:29:03 | 000,025,600 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\system32\drivers\terminpt.sys -- (terminpt)
DRV - [2010/11/20 17:29:03 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\system32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010/11/20 17:29:03 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\system32\drivers\vms3cap.sys -- (s3cap)
DRV - [2009/08/22 23:06:38 | 000,048,640 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\L1E62x86.sys -- (L1E)
DRV - [2009/07/13 18:09:17 | 004,194,816 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2004/08/13 03:56:20 | 000,005,810 | ---- | M] () [Kernel | On_Demand] -- D:\Windows\System32\drivers\ASACPI.sys -- (MTsensor)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
IE - HKU\*USERNAME*_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.facemoods.com/?a=ddrnw
IE - HKU\*USERNAME*_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKU\*USERNAME*_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 89 EF 14 23 EA F5 CB 01  [binary data]
IE - HKU\*USERNAME*_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\Windows\System32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin:  File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: D:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/09/01 17:35:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 6.0.1\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011/08/19 04:26:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 6.0.1\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2011/04/08 08:18:07 | 000,000,000 | ---D | M] (No name found) -- D:\Users\*USERNAME*\AppData\Roaming\Mozilla\Extensions
[2010/09/19 09:09:26 | 000,000,000 | ---D | M] (No name found) -- D:\Users\*USERNAME*\AppData\Roaming\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011/07/03 02:46:09 | 000,000,000 | ---D | M] (No name found) -- D:\Users\*USERNAME*\AppData\Roaming\Mozilla\Firefox\Profiles\c8mwc1au.default\extensions
[2011/06/08 06:28:30 | 000,000,000 | ---D | M] (No name found) -- D:\Program Files\Mozilla Firefox\extensions
[2011/06/08 06:28:30 | 000,000,000 | ---D | M] (Java Console) -- D:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
File not found (No name found) -- 
() (No name found) -- D:\USERS\*USERNAME*\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\C8MWC1AU.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2011/09/01 17:35:46 | 000,134,104 | ---- | M] (Mozilla Foundation) -- D:\Program Files\mozilla firefox\components\browsercomps.dll
[2010/01/01 04:00:00 | 000,001,392 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010/01/01 04:00:00 | 000,002,252 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\bing.xml
[2010/01/01 04:00:00 | 000,001,153 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011/06/08 06:21:16 | 000,002,048 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
[2010/01/01 04:00:00 | 000,006,805 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2010/01/01 04:00:00 | 000,001,178 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2010/01/01 04:00:00 | 000,001,105 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 17:39:37 | 000,000,824 | ---- | M]) - D:\Windows\System32\drivers\etc\hosts
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\LocalService_ON_D\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\NetworkService_ON_D\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\systemprofile_ON_D\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\*USERNAME*_ON_D\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\*USERNAME*_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - D:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2011/05/08 07:37:52 | 000,000,100 | ---- | M] () - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/09/01 17:17:42 | 000,000,000 | ---D | C] -- D:\Program Files\ESET
[2011/09/01 17:17:28 | 002,322,184 | ---- | C] (ESET) -- D:\Users\*USERNAME*\Desktop\esetsmartinstaller_enu.exe
[2011/09/01 17:12:43 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- D:\Windows\System32\drivers\mbamswissarmy.sys
[2011/09/01 17:12:43 | 000,000,000 | ---D | C] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011/09/01 17:12:43 | 000,000,000 | ---D | C] -- D:\ProgramData\Malwarebytes
[2011/09/01 17:12:40 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- D:\Windows\System32\drivers\mbam.sys
[2011/09/01 11:35:58 | 161,627,216 | ---- | C] (Kaspersky Lab) -- D:\Users\*USERNAME*\Desktop\kav12.0.0.374de_de.exe
[2011/09/01 11:03:39 | 000,000,000 | ---D | C] -- D:\a
[2011/09/01 11:01:05 | 003,065,008 | ---- | C] (Safer Networking Limited) -- D:\Users\*USERNAME*\Desktop\RootAlyzer.exe
[2011/09/01 10:42:55 | 000,000,000 | ---D | C] -- D:\Windows\temp
[2011/09/01 10:42:37 | 000,000,000 | -HSD | C] -- D:\$RECYCLE.BIN
[2011/09/01 10:36:13 | 000,518,144 | ---- | C] (SteelWerX) -- D:\Windows\SWREG.exe
[2011/09/01 10:36:13 | 000,406,528 | ---- | C] (SteelWerX) -- D:\Windows\SWSC.exe
[2011/09/01 10:36:13 | 000,060,416 | ---- | C] (NirSoft) -- D:\Windows\NIRCMD.exe
[2011/09/01 10:36:10 | 000,000,000 | ---D | C] -- D:\Windows\ERDNT
[2011/09/01 10:36:08 | 000,000,000 | ---D | C] -- D:\Qoobox
[2011/09/01 07:36:22 | 000,000,000 | ---D | C] -- D:\avz4
[2011/09/01 06:57:54 | 000,581,120 | ---- | C] (OldTimer Tools) -- D:\Users\*USERNAME*\Desktop\OTL.exe
[2011/09/01 06:03:17 | 000,000,000 | ---D | C] -- D:\Windows\Minidump
[2011/09/01 05:57:46 | 000,000,000 | ---D | C] -- D:\Users\*USERNAME*\Desktop\!SECURITY
[2011/09/01 05:15:00 | 000,000,000 | ---D | C] -- D:\Program Files\CCleaner
[2011/09/01 04:55:05 | 000,000,000 | ---D | C] -- D:\Users\*USERNAME*\AppData\Roaming\Malwarebytes
[2011/09/01 04:54:58 | 000,000,000 | ---D | C] -- D:\Program Files\Malwarebytes' Anti-Malware
[2011/08/23 11:04:23 | 000,000,000 | ---D | C] -- D:\Users\*USERNAME*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games
[2011/08/23 11:00:38 | 000,139,264 | ---- | C] (Blizzard Entertainment) -- D:\Windows\War3Unin.exe
[2011/08/23 11:00:38 | 000,000,000 | ---D | C] -- D:\Users\*USERNAME*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Warcraft III
[2011/08/23 11:00:38 | 000,000,000 | ---D | C] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III
[2011/08/23 10:57:28 | 000,000,000 | ---D | C] -- D:\Spiele
[2011/08/19 05:02:30 | 000,000,000 | ---D | C] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator
[2011/08/19 05:02:26 | 000,000,000 | ---D | C] -- D:\Program Files\PDFCreator
[1 D:\*.tmp files -> D:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/09/01 18:00:12 | 000,067,584 | --S- | M] () -- D:\Windows\bootstat.dat
[2011/09/01 18:00:08 | 000,021,248 | -H-- | M] () -- D:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011/09/01 18:00:08 | 000,021,248 | -H-- | M] () -- D:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011/09/01 17:36:06 | 000,653,928 | ---- | M] () -- D:\Windows\System32\perfh007.dat
[2011/09/01 17:36:06 | 000,615,810 | ---- | M] () -- D:\Windows\System32\perfh009.dat
[2011/09/01 17:36:06 | 000,129,800 | ---- | M] () -- D:\Windows\System32\perfc007.dat
[2011/09/01 17:36:06 | 000,106,190 | ---- | M] () -- D:\Windows\System32\perfc009.dat
[2011/09/01 17:31:26 | 169,750,471 | ---- | M] () -- D:\Windows\MEMORY.DMP
[2011/09/01 17:17:30 | 002,322,184 | ---- | M] (ESET) -- D:\Users\*USERNAME*\Desktop\esetsmartinstaller_enu.exe
[2011/09/01 17:12:43 | 000,000,000 | ---D | M] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011/09/01 11:55:22 | 000,017,408 | ---- | M] () -- D:\Users\*USERNAME*\AppData\Local\WebpageIcons.db
[2011/09/01 11:40:50 | 000,001,912 | ---- | M] () -- D:\Windows\epplauncher.mif
[2011/09/01 11:37:29 | 161,627,216 | ---- | M] (Kaspersky Lab) -- D:\Users\*USERNAME*\Desktop\kav12.0.0.374de_de.exe
[2011/09/01 11:29:02 | 036,999,324 | ---- | M] () -- D:\Users\*USERNAME*\Desktop\old.reg
[2011/09/01 06:57:58 | 000,050,477 | ---- | M] () -- D:\Users\*USERNAME*\Desktop\Defogger.exe
[2011/09/01 06:57:54 | 000,581,120 | ---- | M] (OldTimer Tools) -- D:\Users\*USERNAME*\Desktop\OTL.exe
[2011/09/01 06:19:02 | 000,000,000 | ---- | M] () -- D:\Users\*USERNAME*\Desktop\j9nc21vb.bat
[2011/09/01 05:56:07 | 000,302,592 | ---- | M] () -- D:\Users\*USERNAME*\Desktop\j9nc21vb.exe
[2011/09/01 05:50:19 | 000,298,040 | ---- | M] () -- D:\Windows\System32\FNTCACHE.DAT
[2011/09/01 04:51:02 | 000,012,967 | ---- | M] () -- D:\Users\*USERNAME*\Desktop\RechnungBücher.odt
[2011/09/01 03:58:52 | 000,002,066 | ---- | M] () -- D:\Users\*USERNAME*\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Thunderbird.lnk
[2011/08/26 07:01:48 | 000,183,952 | ---- | M] () -- D:\Users\*USERNAME*\Desktop\Lieferschein.26.08.2011_1252-1.pdf
[2011/08/23 11:12:42 | 000,001,643 | ---- | M] () -- D:\Users\*USERNAME*\Desktop\Warcraft III.lnk
[2011/08/23 11:09:54 | 000,050,643 | ---- | M] () -- D:\Windows\War3Unin.dat
[2011/08/23 11:09:54 | 000,001,650 | ---- | M] () -- D:\Users\*USERNAME*\Desktop\Frozen Throne.lnk
[2011/08/23 11:09:52 | 000,139,264 | ---- | M] (Blizzard Entertainment) -- D:\Windows\War3Unin.exe
[2011/08/23 11:09:52 | 000,002,829 | ---- | M] () -- D:\Windows\War3Unin.pif
[2011/08/23 11:09:52 | 000,000,000 | ---D | M] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III
[2011/08/19 05:02:31 | 000,000,000 | ---D | M] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator
[1 D:\*.tmp files -> D:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/09/01 11:55:19 | 000,017,408 | ---- | C] () -- D:\Users\*USERNAME*\AppData\Local\WebpageIcons.db
[2011/09/01 11:29:01 | 036,999,324 | ---- | C] () -- D:\Users\*USERNAME*\Desktop\old.reg
[2011/09/01 10:36:13 | 000,256,000 | ---- | C] () -- D:\Windows\PEV.exe
[2011/09/01 10:36:13 | 000,208,896 | ---- | C] () -- D:\Windows\MBR.exe
[2011/09/01 10:36:13 | 000,098,816 | ---- | C] () -- D:\Windows\sed.exe
[2011/09/01 10:36:13 | 000,080,412 | ---- | C] () -- D:\Windows\grep.exe
[2011/09/01 10:36:13 | 000,068,096 | ---- | C] () -- D:\Windows\zip.exe
[2011/09/01 06:58:00 | 000,050,477 | ---- | C] () -- D:\Users\*USERNAME*\Desktop\Defogger.exe
[2011/09/01 06:19:02 | 000,000,000 | ---- | C] () -- D:\Users\*USERNAME*\Desktop\j9nc21vb.bat
[2011/09/01 06:03:13 | 169,750,471 | ---- | C] () -- D:\Windows\MEMORY.DMP
[2011/09/01 05:56:11 | 000,302,592 | ---- | C] () -- D:\Users\*USERNAME*\Desktop\j9nc21vb.exe
[2011/09/01 05:50:02 | 000,298,040 | ---- | C] () -- D:\Windows\System32\FNTCACHE.DAT
[2011/09/01 04:51:00 | 000,012,967 | ---- | C] () -- D:\Users\*USERNAME*\Desktop\RechnungBücher.odt
[2011/08/26 07:01:48 | 000,183,952 | ---- | C] () -- D:\Users\*USERNAME*\Desktop\Lieferschein.26.08.2011_1252-1.pdf
[2011/08/23 11:09:54 | 000,001,650 | ---- | C] () -- D:\Users\*USERNAME*\Desktop\Frozen Throne.lnk
[2011/08/23 11:02:18 | 000,001,643 | ---- | C] () -- D:\Users\*USERNAME*\Desktop\Warcraft III.lnk
[2011/08/23 11:00:38 | 000,050,643 | ---- | C] () -- D:\Windows\War3Unin.dat
[2011/08/23 11:00:38 | 000,002,829 | ---- | C] () -- D:\Windows\War3Unin.pif
[2011/08/19 05:02:27 | 000,116,224 | ---- | C] () -- D:\Windows\System32\pdfcmnnt.dll
[2011/08/13 13:05:19 | 000,065,024 | ---- | C] () -- D:\Windows\System32\jsproxy.dll
[2011/04/08 08:23:00 | 000,080,896 | ---- | C] () -- D:\Windows\System32\ff_vfw.dll
[2011/04/08 07:38:47 | 000,000,000 | ---- | C] () -- D:\Windows\ativpsrm.bin
[2011/04/08 07:38:47 | 000,000,000 | ---- | C] () -- D:\Windows\System32\atiicdxx.dat
[2010/11/20 20:46:14 | 000,653,928 | ---- | C] () -- D:\Windows\System32\perfh007.dat
[2010/11/20 20:46:14 | 000,295,922 | ---- | C] () -- D:\Windows\System32\perfi007.dat
[2010/11/20 20:46:14 | 000,129,800 | ---- | C] () -- D:\Windows\System32\perfc007.dat
[2010/11/20 20:46:14 | 000,038,104 | ---- | C] () -- D:\Windows\System32\perfd007.dat
[2010/11/20 17:29:34 | 000,080,896 | ---- | C] () -- D:\Windows\System32\RDVGHelper.exe
[2010/11/20 17:29:26 | 000,066,048 | ---- | C] () -- D:\Windows\System32\PrintBrmUi.exe
[2010/11/20 17:29:24 | 000,252,928 | ---- | C] () -- D:\Windows\System32\DShowRdpFilter.dll
[2009/07/14 00:57:37 | 000,067,584 | --S- | C] () -- D:\Windows\bootstat.dat
[2009/07/13 22:05:48 | 000,615,810 | ---- | C] () -- D:\Windows\System32\perfh009.dat
[2009/07/13 22:05:48 | 000,291,294 | ---- | C] () -- D:\Windows\System32\perfi009.dat
[2009/07/13 22:05:48 | 000,106,190 | ---- | C] () -- D:\Windows\System32\perfc009.dat
[2009/07/13 22:05:48 | 000,031,548 | ---- | C] () -- D:\Windows\System32\perfd009.dat
[2009/07/13 22:05:05 | 000,000,741 | ---- | C] () -- D:\Windows\System32\NOISE.DAT
[2009/07/13 22:04:11 | 000,215,943 | ---- | C] () -- D:\Windows\System32\dssec.dat
[2009/07/13 19:55:01 | 000,043,131 | ---- | C] () -- D:\Windows\mib.bin
[2009/07/13 19:51:43 | 000,073,728 | ---- | C] () -- D:\Windows\System32\BthpanContextHandler.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- D:\Windows\System32\BWContextHandler.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- D:\Windows\System32\mlang.dat
[2004/08/13 03:56:20 | 000,005,810 | ---- | C] () -- D:\Windows\System32\drivers\ASACPI.sys
 
========== LOP Check ==========
 
[2011/04/08 07:42:58 | 000,000,000 | -HSD | M] -- D:\ProgramData\Anwendungsdaten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Application Data
[2011/06/19 16:43:04 | 000,000,000 | ---D | M] -- D:\ProgramData\DAEMON Tools Lite
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Desktop
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Documents
[2011/04/08 07:42:58 | 000,000,000 | -HSD | M] -- D:\ProgramData\Dokumente
[2011/04/08 07:42:58 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favoriten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favorites
[2011/08/28 18:02:34 | 000,000,000 | ---D | M] -- D:\ProgramData\Rosetta Stone
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Start Menu
[2011/04/08 07:42:58 | 000,000,000 | -HSD | M] -- D:\ProgramData\Startmenü
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Templates
[2011/04/08 07:42:58 | 000,000,000 | -HSD | M] -- D:\ProgramData\Vorlagen
[2011/08/31 03:27:07 | 000,032,634 | ---- | M] () -- D:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >
         

Alt 02.09.2011, 06:00   #2
kira
/// Helfer-Team
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Systemscan mit OTL - wenn Du normal starten kannst (also im normalen Modus arbeiten), bitte nicht mit OTLPE arbeiten!

Sondern lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
  • Poste die Logfiles in Code-Tags hier in den Thread.

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
kira
__________________

__________________

Alt 02.09.2011, 12:34   #3
shh
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



Virenscanner (MS Security Essentials) habe ich temp ausgeschaltet.
Mit GMER hab ich ja gestern wie gesagt versucht, die Pointer von ntkrnlpa.exe zu "Recode"n, was nach ein paar Sekunden mit einem Bluescreen quittiert wurde.

1. Systemscan mit OTL:
OTL.Txt
Code:
ATTFilter
OTL logfile created on: 02.09.2011 13:42:34 - Run 3
OTL by OldTimer - Version 3.2.27.0     Folder = C:\Users\***\Desktop
 Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,30 Gb Available Physical Memory | 70,64% Memory free
6,50 Gb Paging File | 5,43 Gb Available in Paging File | 83,62% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 74,43 Gb Total Space | 45,04 Gb Free Space | 60,51% Space Free | Partition Type: NTFS
Drive D: | 436,59 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 7,46 Gb Total Space | 1,01 Gb Free Space | 13,55% Space Free | Partition Type: NTFS
 
Computer Name: ***-PC | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Users\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\Notepad++\NppShell_04.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (FLEXnet Licensing Service) -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.)
SRV - (AdobeARMservice) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (NisSrv) -- c:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe (Microsoft Corporation)
SRV - (MsMpSvc) -- c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MpKsld994fd8c) -- c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E422077F-18E6-4DA1-953C-0FCEA2033C71}\MpKsld994fd8c.sys (Microsoft Corporation)
DRV - (NisDrv) -- C:\Windows\System32\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV - (MpNWMon) -- C:\Windows\System32\drivers\MpNWMon.sys (Microsoft Corporation)
DRV - (RdpVideoMiniport) -- C:\Windows\System32\drivers\rdpvideominiport.sys (Microsoft Corporation)
DRV - (TsUsbFlt) -- C:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV - (vmbus) -- C:\Windows\system32\drivers\vmbus.sys (Microsoft Corporation)
DRV - (tsusbhub) -- C:\Windows\System32\drivers\tsusbhub.sys (Microsoft Corporation)
DRV - (Synth3dVsc) -- C:\Windows\System32\drivers\Synth3dVsc.sys (Microsoft Corporation)
DRV - (dmvsc) -- C:\Windows\system32\drivers\dmvsc.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\system32\drivers\vmstorfl.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\system32\drivers\storvsc.sys (Microsoft Corporation)
DRV - (TsUsbGD) -- C:\Windows\system32\drivers\TsUsbGD.sys (Microsoft Corporation)
DRV - (terminpt) -- C:\Windows\system32\drivers\terminpt.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\system32\drivers\VMBusHID.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\system32\drivers\vms3cap.sys (Microsoft Corporation)
DRV - (L1E) -- C:\Windows\System32\drivers\L1E62x86.sys (Atheros Communications, Inc.)
DRV - (atikmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (MTsensor) -- C:\Windows\System32\drivers\ASACPI.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.facemoods.com/?a=ddrnw
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 89 EF 14 23 EA F5 CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.09.01 23:35:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 6.0.1\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011.08.19 10:26:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 6.0.1\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2011.04.08 14:18:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions
[2010.09.19 15:09:26 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.07.03 08:46:09 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\c8mwc1au.default\extensions
[2011.06.08 12:28:30 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.06.08 12:28:30 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
() (No name found) -- C:\USERS\***\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\C8MWC1AU.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2011.09.01 23:35:46 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011.06.08 12:21:16 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O4 - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C90C2500-4EF9-43EA-85F2-8E2ED55576F0}: DhcpNameServer = 192.168.1.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006.03.24 13:06:41 | 000,000,053 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O32 - AutoRun File - [2011.05.08 13:37:52 | 000,000,100 | ---- | M] () - F:\autorun.inf -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.09.02 13:24:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HashCalc
[2011.09.02 13:24:54 | 000,000,000 | ---D | C] -- C:\Program Files\HashCalc
[2011.09.02 13:22:13 | 000,000,000 | ---D | C] -- C:\Windows\System32\appmgmt
[2011.09.02 13:15:46 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Security Client
[2011.09.02 13:15:45 | 000,000,000 | ---D | C] -- C:\459b5677b46220a90baf8f196aa6
[2011.09.02 01:43:14 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2011.09.01 23:17:42 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2011.09.01 23:12:43 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.09.01 23:12:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.09.01 23:12:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.09.01 23:12:40 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2011.09.01 16:42:55 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011.09.01 16:36:13 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2011.09.01 16:36:13 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2011.09.01 16:36:13 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2011.09.01 16:36:10 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011.09.01 16:36:08 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.09.01 13:36:22 | 000,000,000 | ---D | C] -- C:\avz4
[2011.09.01 12:03:17 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2011.09.01 11:15:00 | 000,000,000 | ---D | C] -- C:\Program Files\CCleaner
[2011.09.01 10:55:05 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes
[2011.09.01 10:54:58 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011.08.24 15:23:24 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll
[2011.08.23 17:04:23 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games
[2011.08.23 17:00:38 | 000,139,264 | ---- | C] (Blizzard Entertainment) -- C:\Windows\War3Unin.exe
[2011.08.23 17:00:38 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Warcraft III
[2011.08.23 17:00:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III
[2011.08.23 16:57:28 | 000,000,000 | ---D | C] -- C:\Spiele
[2011.08.19 11:02:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator
[2011.08.19 11:02:27 | 001,071,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCOMCTL.OCX
[2011.08.19 11:02:27 | 000,662,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCOMCT2.OCX
[2011.08.19 11:02:27 | 000,137,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSMAPI32.OCX
[2011.08.19 11:02:26 | 000,158,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCMCDE.DLL
[2011.08.19 11:02:26 | 000,125,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\VB6DE.DLL
[2011.08.19 11:02:26 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCC2DE.DLL
[2011.08.19 11:02:26 | 000,023,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSMPIDE.DLL
[2011.08.19 11:02:26 | 000,000,000 | ---D | C] -- C:\Program Files\PDFCreator
[2011.08.13 19:05:21 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2011.08.13 19:05:20 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2011.08.13 19:05:19 | 001,797,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2011.08.13 19:05:18 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2011.08.13 12:36:36 | 003,967,872 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2011.08.13 12:36:36 | 003,912,576 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2011.08.13 11:56:17 | 000,271,360 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
[2011.08.13 11:56:17 | 000,169,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\winsrv.dll
[2011.08.13 11:56:17 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
[2011.08.13 11:56:17 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
[2011.08.13 11:51:02 | 000,319,488 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbcjt32.dll
[2011.08.13 11:51:02 | 000,163,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbctrac.dll
[2011.08.13 11:51:02 | 000,122,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbccp32.dll
[2011.08.13 11:51:02 | 000,086,016 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbccu32.dll
[2011.08.13 11:51:02 | 000,081,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbccr32.dll
 
========== Files - Modified Within 30 Days ==========
 
[2011.09.02 13:17:12 | 000,656,028 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.09.02 13:17:12 | 000,617,910 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.09.02 13:17:12 | 000,130,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.09.02 13:17:12 | 000,107,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.09.02 13:16:19 | 000,021,248 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.09.02 13:16:19 | 000,021,248 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.09.02 13:16:09 | 000,001,912 | ---- | M] () -- C:\Windows\epplauncher.mif
[2011.09.02 13:10:36 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.09.01 23:31:26 | 169,750,471 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.09.01 17:55:22 | 000,017,408 | ---- | M] () -- C:\Users\***\AppData\Local\WebpageIcons.db
[2011.09.01 12:58:14 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable
[2011.09.01 11:50:19 | 000,298,040 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2011.08.23 17:09:54 | 000,050,643 | ---- | M] () -- C:\Windows\War3Unin.dat
[2011.08.23 17:09:52 | 000,139,264 | ---- | M] (Blizzard Entertainment) -- C:\Windows\War3Unin.exe
[2011.08.23 17:09:52 | 000,002,829 | ---- | M] () -- C:\Windows\War3Unin.pif
[2011.08.20 23:28:54 | 000,022,587 | ---- | M] () -- C:\Users\***\.recently-used.xbel
 
========== Files Created - No Company Name ==========
 
[2011.09.02 13:15:51 | 000,001,903 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Security Essentials.lnk
[2011.09.01 17:55:19 | 000,017,408 | ---- | C] () -- C:\Users\***\AppData\Local\WebpageIcons.db
[2011.09.01 16:36:13 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2011.09.01 16:36:13 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2011.09.01 16:36:13 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2011.09.01 16:36:13 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2011.09.01 16:36:13 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2011.09.01 12:58:14 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable
[2011.09.01 12:03:13 | 169,750,471 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2011.09.01 11:50:02 | 000,298,040 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2011.08.23 17:00:38 | 000,050,643 | ---- | C] () -- C:\Windows\War3Unin.dat
[2011.08.23 17:00:38 | 000,002,829 | ---- | C] () -- C:\Windows\War3Unin.pif
[2011.08.20 23:28:54 | 000,022,587 | ---- | C] () -- C:\Users\***\.recently-used.xbel
[2011.08.19 11:02:27 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2011.08.13 19:05:19 | 000,065,024 | ---- | C] () -- C:\Windows\System32\jsproxy.dll
[2011.04.08 14:23:00 | 000,080,896 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2011.04.08 13:38:47 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2011.04.08 13:38:47 | 000,000,000 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2010.11.21 02:46:14 | 000,656,028 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2010.11.21 02:46:14 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2010.11.21 02:46:14 | 000,130,800 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2010.11.21 02:46:14 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2010.11.20 23:29:34 | 000,080,896 | ---- | C] () -- C:\Windows\System32\RDVGHelper.exe
[2010.11.20 23:29:26 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 04:05:48 | 000,617,910 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,107,190 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2004.08.13 09:56:20 | 000,005,810 | ---- | C] () -- C:\Windows\System32\drivers\ASACPI.sys

< End of report >
         
Extras.Txt
Code:
ATTFilter
OTL Extras logfile created on: 02.09.2011 13:42:34 - Run 3
OTL by OldTimer - Version 3.2.27.0     Folder = C:\Users\***\Desktop
 Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,30 Gb Available Physical Memory | 70,64% Memory free
6,50 Gb Paging File | 5,43 Gb Available in Paging File | 83,62% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 74,43 Gb Total Space | 45,04 Gb Free Space | 60,51% Space Free | Partition Type: NTFS
Drive D: | 436,59 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 7,46 Gb Total Space | 1,01 Gb Free Space | 13,55% Space Free | Partition Type: NTFS
 
Computer Name: ***-PC | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{05BFB060-4F22-4710-B0A2-2801A1B606C5}" = Microsoft Antimalware
"{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack
"{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1" = Media Player Classic - Home Cinema v1.5.0.2827
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java(TM) 6 Update 26
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{50779A29-834E-4E36-BBEB-B7CABC67A825}" = Microsoft Security Client DE-DE Language Pack
"{54B6DC7D-8C5B-4DFB-BC15-C010A3326B2B}" = Microsoft Security Client
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{918A9082-6287-4D25-9002-5E5D5E4971CB}" = League of Legends
"{99011A6E-5200-11DE-BDB8-7ACD56D89593}" = Rosetta Stone Version 3
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Deutsch
"{CEE2613D-3B53-4447-BA2D-E88C08272581}" = LibreOffice 3.3
"{D140D7FE-5CD2-4EC1-92CB-ECEA1F5E51CC}" = LibreOffice 3.3 Help Pack (German)
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"1489-3350-5074-6281" = JDownloader 0.9
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"BSW" = BrettspielWelt
"CCleaner" = CCleaner
"CrystalDiskInfo_is1" = CrystalDiskInfo 3.10.0
"ESET Online Scanner" = ESET Online Scanner v3
"ffdshow_is1" = ffdshow v1.1.3771 [2011-03-07]
"HaaliMkx" = Haali Media Splitter
"HashCalc_is1" = HashCalc 2.02
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft Security Client" = Microsoft Security Essentials
"Mozilla Firefox 6.0.1 (x86 de)" = Mozilla Firefox 6.0.1 (x86 de)
"Mozilla Thunderbird (6.0.1)" = Mozilla Thunderbird (6.0.1)
"Notepad++" = Notepad++
"Warcraft III" = Warcraft III
"WinGimp-2.0_is1" = GIMP 2.6.11
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Warcraft III" = Warcraft III: All Products
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 01.09.2011 15:43:44 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 01.09.2011 15:57:29 | Computer Name = ***-PC | Source = PerfNet | ID = 2004
Description = 
 
Error - 01.09.2011 16:47:03 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 01.09.2011 16:51:44 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 01.09.2011 17:23:39 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 01.09.2011 17:28:28 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 01.09.2011 17:33:19 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 01.09.2011 19:44:49 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 02.09.2011 07:09:28 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
Error - 02.09.2011 07:12:27 | Computer Name = ***-PC | Source = WinMgmt | ID = 10
Description = 
 
[ System Events ]
Error - 01.09.2011 17:21:51 | Computer Name = ***-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?01.?09.?2011 um 23:20:07 unerwartet heruntergefahren.
 
Error - 01.09.2011 17:21:58 | Computer Name = ***-PC | Source = BugCheck | ID = 1001
Description = 
 
Error - 01.09.2011 17:26:40 | Computer Name = ***-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?01.?09.?2011 um 23:24:45 unerwartet heruntergefahren.
 
Error - 01.09.2011 17:26:44 | Computer Name = ***-PC | Source = BugCheck | ID = 1001
Description = 
 
Error - 01.09.2011 17:31:29 | Computer Name = ***-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?01.?09.?2011 um 23:30:33 unerwartet heruntergefahren.
 
Error - 01.09.2011 17:31:34 | Computer Name = ***-PC | Source = BugCheck | ID = 1001
Description = 
 
Error - 02.09.2011 07:10:55 | Computer Name = ***-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
 
Error - 02.09.2011 07:10:56 | Computer Name = ***-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
 
Error - 02.09.2011 07:10:56 | Computer Name = ***-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
 
Error - 02.09.2011 07:10:57 | Computer Name = ***-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
 
 
< End of report >
         
zu 3.: Installierte Programme
install.txt von CCleaner. Btw, was steht da, was nicht schon in der Extras.Txt unter "HKEY_LOCAL_MACHINE Uninstall List" steht?
Code:
ATTFilter
7-Zip 9.20		07.04.2011		
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	18.06.2011	6,00MB	10.3.181.26
Adobe Reader X (10.1.0) - Deutsch	Adobe Systems Incorporated	18.06.2011	165,3MB	10.1.0
BrettspielWelt		30.04.2011		
CCleaner	Piriform	31.08.2011		3.10
CrystalDiskInfo 3.10.0	Crystal Dew World	07.04.2011	3,07MB	3.10.0
ESET Online Scanner v3		31.08.2011		
ffdshow v1.1.3771 [2011-03-07]		07.04.2011	14,8MB	1.1.3771.0
GIMP 2.6.11	The GIMP Team	10.04.2011	106,8MB	2.6.11
Haali Media Splitter		07.04.2011		
HashCalc 2.02	SlavaSoft Inc.	01.09.2011		
Java(TM) 6 Update 26	Oracle	07.06.2011	97,1MB	6.0.260
JDownloader 0.9	AppWork GmbH	07.06.2011		0.9
League of Legends	Riot Games	21.05.2011		1.02.0000
LibreOffice 3.3	LibreOffice	07.04.2011	461MB	3.3.202
LibreOffice 3.3 Help Pack (German)	LibreOffice	07.04.2011	22,1MB	3.3.202
Malwarebytes' Anti-Malware Version 1.51.1.1800	Malwarebytes Corporation	31.08.2011	13,4MB	1.51.1.1800
Media Player Classic - Home Cinema v1.5.0.2827	MPC-HC Team	07.04.2011	30,3MB	1.5.0.2827
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	07.04.2011	38,8MB	4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack	Microsoft Corporation	07.04.2011	2,94MB	4.0.30319
Microsoft Security Essentials	Microsoft Corporation	01.09.2011		2.1.1116.0
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148	Microsoft Corporation	07.04.2011	0,20MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570	Microsoft Corporation	14.04.2011	0,58MB	9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	07.04.2011	0,58MB	9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	18.06.2011	0,59MB	9.0.30729.6161
Mozilla Firefox 6.0.1 (x86 de)	Mozilla	31.08.2011	32,5MB	6.0.1
Mozilla Thunderbird (6.0.1)	Mozilla	31.08.2011		6.0.1 (de)
Notepad++		07.04.2011		5.9
PDFCreator	Frank Heindörfer, Philip Chinery	18.08.2011		1.2.2
Rosetta Stone Version 3	Rosetta Stone Ltd.	18.06.2011	120,4MB	3.4.5.0
Warcraft III		22.08.2011		
Warcraft III: All Products		22.08.2011
         
Weiteres:
mbr.exe mbr.log
Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.1.7601 Disk: SAMSUNG_HD080HJ rev.ZH100-41 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP5T0L0-5 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
MBRCheck
Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version:                Windows 7 Ultimate Edition
Windows Information:            Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer:        ASUSTeK Computer INC.
BIOS Manufacturer:              American Megatrends Inc.
System Manufacturer:            System manufacturer
System Product Name:            P5QL-E
Logical Drives Mask:            0x0000002c

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000  (NTFS)

      Size  Device Name          MBR Status
  --------------------------------------------
     74 GB  \\.\PhysicalDrive0   Windows 7 MBR code detected
            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!
Press ENTER to exit...
         
catchme.exe als Admin:
Code:
ATTFilter
detected NTDLL code modification:
ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error
         
GMER zeigt nach dem Start (momentan) nichts an.
GMER Sections Scan:
Die Zeile mit mbr.sys ist erst nach dem Start von mbr.exe oder MBRCheck.exe dazugekommen.
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-09-02 14:18:41
Windows 6.1.7601 Service Pack 1 
Running: 4kjh0ztb.exe; Driver: C:\Users\Ursula\AppData\Local\Temp\pwlirpog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!ZwSaveKey + 13D1                                            82A45349 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                   82A7ED52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text  C:\Windows\system32\DRIVERS\atikmdag.sys                                 section is writeable [0x90E14000, 0x227A14, 0xE8000020]
PAGE   peauth.sys                                                               96B7002C 102 Bytes  JMP A3BBFD04 
?      C:\Users\Ursula\AppData\Local\Temp\mbr.sys                               Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text  C:\Program Files\Mozilla Firefox\firefox.exe[2244] ntdll.dll!LdrLoadDll  77AA22B8 5 Bytes  JMP 00971410 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- EOF - GMER 1.0.15 ----
         
Wenn neue Programme gestartet werden, werden die manchmal gehooked: Notepad, Windows Media Player, HashCalc, Calc zB nicht, aber Firefox, Thunderbird und Virenscanner aber schon.
Insbesondere der Internet Explorer 9. Siehe:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-09-02 14:27:41
Windows 6.1.7601 Service Pack 1 
Running: 4kjh0ztb.exe; Driver: C:\Users\Ursula\AppData\Local\Temp\pwlirpog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!ZwSaveKey + 13D1                                                                82A45349 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                       82A7ED52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text  C:\Windows\system32\DRIVERS\atikmdag.sys                                                     section is writeable [0x90E14000, 0x227A14, 0xE8000020]
PAGE   peauth.sys                                                                                   96B7002C 102 Bytes  JMP A3BBFD04 
?      C:\Users\Ursula\AppData\Local\Temp\mbr.sys                                                   Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[1092] ntdll.dll!LdrLoadDll              77AA22B8 5 Bytes  JMP 003F132B C:\Program Files\Mozilla Thunderbird\thunderbird.exe (Thunderbird/Mozilla Messaging)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1596] USER32.dll!EnableWindow                778C8D02 5 Bytes  JMP 6DF798BC C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1596] USER32.dll!DialogBoxParamW             778E3B9B 5 Bytes  JMP 6DED15E3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1596] USER32.dll!DialogBoxIndirectParamW     778F3B7F 5 Bytes  JMP 6E0C5E8E C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1596] USER32.dll!DialogBoxParamA             7790CF42 5 Bytes  JMP 6E0C5E29 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1596] USER32.dll!DialogBoxIndirectParamA     7790D274 5 Bytes  JMP 6E0C5EF3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1596] USER32.dll!MessageBoxIndirectA         7791E869 5 Bytes  JMP 6E0C5DB0 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1596] USER32.dll!MessageBoxIndirectW         7791E963 5 Bytes  JMP 6E0C5D37 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1596] USER32.dll!MessageBoxExA               7791E9C9 5 Bytes  JMP 6E0C5CD3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[1596] USER32.dll!MessageBoxExW               7791E9ED 5 Bytes  JMP 6E0C5C6F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Mozilla Firefox\firefox.exe[2244] ntdll.dll!LdrLoadDll                      77AA22B8 5 Bytes  JMP 00971410 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] kernel32.dll!CreateThread              7661DCC2 5 Bytes  JMP 6DF371CB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!EnableWindow                778C8D02 5 Bytes  JMP 6DF798BC C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!GetAsyncKeyState            778CA256 5 Bytes  JMP 6DF1DC5D C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!CallNextHookEx              778CABE1 5 Bytes  JMP 6DF97A4F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!UnhookWindowsHookEx         778CADF9 5 Bytes  JMP 6DFBEA08 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!DefWindowProcA              778CBB1C 7 Bytes  JMP 6DF393F5 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!CreateWindowExA             778CBF40 5 Bytes  JMP 6DF43223 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!SetWindowsHookExW           778CE30C 5 Bytes  JMP 6DF7204C C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!CreateWindowExW             778CEC7C 5 Bytes  JMP 6DF9FE2F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!GetKeyState                 778D2B4D 5 Bytes  JMP 6DF1DB37 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!IsDialogMessageW            778D4104 5 Bytes  JMP 6E0C696C C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!DefWindowProcW              778D507D 7 Bytes  JMP 6DF97AB2 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!CreateDialogParamA          778E1F42 5 Bytes  JMP 6E0C61C0 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!IsDialogMessage             778E2019 5 Bytes  JMP 6E0C6944 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!DialogBoxParamW             778E3B9B 5 Bytes  JMP 6DED15E3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!CreateDialogIndirectParamA  778E721D 5 Bytes  JMP 6E0C6230 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!CreateDialogIndirectParamW  778EEA10 5 Bytes  JMP 6E0C6268 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!DialogBoxIndirectParamW     778F3B7F 5 Bytes  JMP 6E0C5E8E C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!EndDialog                   778F3BA3 5 Bytes  JMP 6E0C6C18 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!CreateDialogParamW          778F5630 5 Bytes  JMP 6E0C61F8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!SetKeyboardState            778F695A 5 Bytes  JMP 6E0C7235 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!SendInput                   778F7019 5 Bytes  JMP 6E0C71DD C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!SetCursorPos                7790C1B0 5 Bytes  JMP 6E0C72B6 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!DialogBoxParamA             7790CF42 5 Bytes  JMP 6E0C5E29 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!DialogBoxIndirectParamA     7790D274 5 Bytes  JMP 6E0C5EF3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!MessageBoxIndirectA         7791E869 5 Bytes  JMP 6E0C5DB0 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!MessageBoxIndirectW         7791E963 5 Bytes  JMP 6E0C5D37 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!MessageBoxExA               7791E9C9 5 Bytes  JMP 6E0C5CD3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!MessageBoxExW               7791E9ED 5 Bytes  JMP 6E0C5C6F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] USER32.dll!keybd_event                 7791EC3B 5 Bytes  JMP 6E0C719A C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] SHELL32.dll!RealDriveType + 173D       76B2FE10 4 Bytes  [CF, 01, 7D, 6D] {IRET ; ADD [EBP+0x6d], EDI}
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] SHELL32.dll!RealDriveType + 1745       76B2FE18 8 Bytes  [E0, 61, 7C, 6D, 79, F7, 7C, ...] {LOOPNZ 0x63; JL 0x71; JNS 0xfffffffffffffffd; JL 0x75}
.text  C:\Program Files\Internet Explorer\iexplore.exe[2904] ole32.dll!OleLoadFromStream            776E6143 5 Bytes  JMP 6E0C6676 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
__________________

Alt 02.09.2011, 16:23   #4
kira
/// Helfer-Team
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



► Wenn irgend etwas mit deinem PC nicht in Ordnung ist, bitte eine möglichst kurz und genaue Problembeschreibung!
► Gibt es Probleme beim alltäglichen Einsatz mit dem Rechner?

1.
Fixen mit OTL
  • Starte die OTL.exe.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Kopiere folgendes Skript:
Code:
ATTFilter
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.03.24 13:06:41 | 000,000,053 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O32 - AutoRun File - [2011.05.08 13:37:52 | 000,000,100 | ---- | M] () - F:\autorun.inf -- [ NTFS ]

:Commands
[purity]
[emptytemp]
         
  • und füge es hier ein:
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf .
  • OTL verlangt einen Neustart. Bitte zulassen.
  • Nach dem Neustart findest Du ein Textdokument.
    Kopiere den Inhalt hier in Deinen Thread.

2.
erneut einen Scan mit OTL:
  • Doppelklick auf die OTL.exe
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Oben findest Du ein Kästchen mit Ausgabe.
    Wähle bitte Standard-Ausgabe
  • Unter Extra-Registrierung wähle bitte Benutze SafeList.
  • Mache Häckchen bei LOP- und Purity-Prüfung.
  • Klicke nun auf Scan links oben.
  • Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
    Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
  • Poste die Logfiles in Code-Tags hier in den Thread.

3.
Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:
Code:
ATTFilter
C:\Qoobox 
oder C:\ComboFix.txt
Malwarebytes
ESET Online Scanner - Log
         
(alle vorhandenen Protokolle)
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 03.09.2011, 00:09   #5
shh
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



► Wenn irgend etwas mit deinem PC nicht in Ordnung ist, bitte eine möglichst kurz und genaue Problembeschreibung!

Zum Teil (öfters nach Warcraft 3 spielen) bekommt die TAB-Taste nen Hänger und geht auf "Dauerfeuer".

► Gibt es Probleme beim alltäglichen Einsatz mit dem Rechner?

Nein. Bis auf das Einklinken in nahezu alle Prozesse...

> Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:

Ich habe neben Malwarebytes, ESEC Online Scanner auch noch mit Kaspersky und MS Sec Ess nach Viren gescannt und auch den tdsskiller(Kaspersky) benutzt.
Unisono: NULL gefundene Infektionen. Es ist scheinbar alles normal. Müßig, da die logs aufzuheben.

Aktuelle Logs:
OTL:
Code:
ATTFilter
OTL logfile created on: 02.09.2011 21:21:07 - Run 3
OTL by OldTimer - Version 3.2.27.0     Folder = C:\Users\***\Desktop
 Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,46 Gb Available Physical Memory | 75,62% Memory free
6,50 Gb Paging File | 5,63 Gb Available in Paging File | 86,70% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 74,43 Gb Total Space | 45,02 Gb Free Space | 60,48% Space Free | Partition Type: NTFS
 
Computer Name: ***-PC | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.09.02 23:26:33 | 000,581,120 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe
PRC - [2011.06.15 15:16:48 | 000,997,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2011.06.06 12:55:32 | 000,035,736 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Reader 10.0\Reader\reader_sl.exe
PRC - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2011.04.27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
PRC - [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.11.20 23:29:49 | 001,121,792 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2010.11.20 23:29:19 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009.07.14 03:14:29 | 000,017,408 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\PrintIsolationHost.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.06.19 22:35:24 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011.04.27 15:39:26 | 000,208,944 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- c:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe -- (NisSrv)
SRV - [2011.04.27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.04.27 15:25:24 | 000,065,024 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\NisDrvWFP.sys -- (NisDrv)
DRV - [2011.04.18 13:18:50 | 000,043,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\MpNWMon.sys -- (MpNWMon)
DRV - [2010.11.20 23:29:34 | 000,015,872 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)
DRV - [2010.11.20 23:29:24 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 23:29:03 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\vmbus.sys -- (vmbus)
DRV - [2010.11.20 23:29:03 | 000,112,640 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - [2010.11.20 23:29:03 | 000,077,184 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Synth3dVsc.sys -- (Synth3dVsc)
DRV - [2010.11.20 23:29:03 | 000,062,464 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\dmvsc.sys -- (dmvsc)
DRV - [2010.11.20 23:29:03 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010.11.20 23:29:03 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010.11.20 23:29:03 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\storvsc.sys -- (storvsc)
DRV - [2010.11.20 23:29:03 | 000,027,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\TsUsbGD.sys -- (TsUsbGD)
DRV - [2010.11.20 23:29:03 | 000,025,600 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\terminpt.sys -- (terminpt)
DRV - [2010.11.20 23:29:03 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010.11.20 23:29:03 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\vms3cap.sys -- (s3cap)
DRV - [2009.08.23 05:06:38 | 000,048,640 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\L1E62x86.sys -- (L1E)
DRV - [2009.07.14 00:09:17 | 004,194,816 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2004.08.13 09:56:20 | 000,005,810 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ASACPI.sys -- (MTsensor)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = FF 45 0F EB 6C 69 CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.09.01 23:35:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 6.0.1\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011.08.19 10:26:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 6.0.1\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2011.04.08 14:18:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions
[2010.09.19 15:09:26 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.07.03 08:46:09 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\c8mwc1au.default\extensions
[2011.06.08 12:28:30 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.06.08 12:28:30 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
() (No name found) -- C:\USERS\***\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\C8MWC1AU.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2011.09.01 23:35:46 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011.06.08 12:21:16 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O4 - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C90C2500-4EF9-43EA-85F2-8E2ED55576F0}: DhcpNameServer = 192.168.1.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.09.03 05:15:21 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.09.02 23:32:52 | 000,000,000 | ---D | C] -- C:\_OTL
[2011.09.02 16:17:13 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Online Solutions
[2011.09.02 13:24:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HashCalc
[2011.09.02 13:24:54 | 000,000,000 | ---D | C] -- C:\Program Files\HashCalc
[2011.09.02 13:22:13 | 000,000,000 | ---D | C] -- C:\Windows\System32\appmgmt
[2011.09.02 13:15:46 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Security Client
[2011.09.02 01:43:14 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2011.09.01 23:12:43 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.09.01 23:12:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.09.01 23:12:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.09.01 23:12:40 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2011.09.01 16:42:55 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011.09.01 16:36:10 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011.09.01 12:03:17 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2011.09.01 11:15:00 | 000,000,000 | ---D | C] -- C:\Program Files\CCleaner
[2011.09.01 10:55:05 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes
[2011.09.01 10:54:58 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011.08.24 15:23:24 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll
[2011.08.23 17:04:23 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games
[2011.08.23 17:00:38 | 000,139,264 | ---- | C] (Blizzard Entertainment) -- C:\Windows\War3Unin.exe
[2011.08.23 17:00:38 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Warcraft III
[2011.08.23 17:00:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III
[2011.08.23 16:57:28 | 000,000,000 | ---D | C] -- C:\Spiele
[2011.08.19 11:02:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator
[2011.08.19 11:02:27 | 001,071,088 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCOMCTL.OCX
[2011.08.19 11:02:27 | 000,662,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCOMCT2.OCX
[2011.08.19 11:02:27 | 000,137,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSMAPI32.OCX
[2011.08.19 11:02:26 | 000,158,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCMCDE.DLL
[2011.08.19 11:02:26 | 000,125,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\VB6DE.DLL
[2011.08.19 11:02:26 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCC2DE.DLL
[2011.08.19 11:02:26 | 000,023,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSMPIDE.DLL
[2011.08.19 11:02:26 | 000,000,000 | ---D | C] -- C:\Program Files\PDFCreator
[2011.08.13 19:05:21 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2011.08.13 19:05:20 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2011.08.13 19:05:19 | 001,797,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2011.08.13 19:05:18 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2011.08.13 12:36:36 | 003,967,872 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2011.08.13 12:36:36 | 003,912,576 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2011.08.13 11:56:17 | 000,271,360 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
[2011.08.13 11:56:17 | 000,169,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\winsrv.dll
[2011.08.13 11:56:17 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
[2011.08.13 11:56:17 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
[2011.08.13 11:56:17 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
[2011.08.13 11:56:17 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
[2011.08.13 11:51:02 | 000,319,488 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbcjt32.dll
[2011.08.13 11:51:02 | 000,163,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbctrac.dll
[2011.08.13 11:51:02 | 000,122,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbccp32.dll
[2011.08.13 11:51:02 | 000,086,016 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbccu32.dll
[2011.08.13 11:51:02 | 000,081,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\odbccr32.dll
 
========== Files - Modified Within 30 Days ==========
 
[2011.09.02 23:41:29 | 000,021,248 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.09.02 23:41:29 | 000,021,248 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.09.02 23:37:51 | 000,656,028 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.09.02 23:37:51 | 000,617,910 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.09.02 23:37:51 | 000,130,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.09.02 23:37:51 | 000,107,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.09.02 21:20:12 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.09.02 13:16:09 | 000,001,912 | ---- | M] () -- C:\Windows\epplauncher.mif
[2011.09.01 23:31:26 | 169,750,471 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.09.01 17:55:22 | 000,017,408 | ---- | M] () -- C:\Users\***\AppData\Local\WebpageIcons.db
[2011.09.01 12:58:14 | 000,000,000 | ---- | M] () -- C:\Users\***\defogger_reenable
[2011.09.01 11:50:19 | 000,298,040 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2011.08.23 17:09:54 | 000,050,643 | ---- | M] () -- C:\Windows\War3Unin.dat
[2011.08.23 17:09:52 | 000,139,264 | ---- | M] (Blizzard Entertainment) -- C:\Windows\War3Unin.exe
[2011.08.23 17:09:52 | 000,002,829 | ---- | M] () -- C:\Windows\War3Unin.pif
[2011.08.20 23:28:54 | 000,022,587 | ---- | M] () -- C:\Users\***\.recently-used.xbel
 
========== Files Created - No Company Name ==========
 
[2011.09.02 13:15:51 | 000,001,903 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Security Essentials.lnk
[2011.09.01 17:55:19 | 000,017,408 | ---- | C] () -- C:\Users\***\AppData\Local\WebpageIcons.db
[2011.09.01 12:58:14 | 000,000,000 | ---- | C] () -- C:\Users\***\defogger_reenable
[2011.09.01 12:03:13 | 169,750,471 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2011.09.01 11:50:02 | 000,298,040 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2011.08.23 17:00:38 | 000,050,643 | ---- | C] () -- C:\Windows\War3Unin.dat
[2011.08.23 17:00:38 | 000,002,829 | ---- | C] () -- C:\Windows\War3Unin.pif
[2011.08.20 23:28:54 | 000,022,587 | ---- | C] () -- C:\Users\***\.recently-used.xbel
[2011.08.19 11:02:27 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2011.08.13 19:05:19 | 000,065,024 | ---- | C] () -- C:\Windows\System32\jsproxy.dll
[2011.04.08 14:23:00 | 000,080,896 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2011.04.08 13:38:47 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2011.04.08 13:38:47 | 000,000,000 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2010.11.21 02:46:14 | 000,656,028 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2010.11.21 02:46:14 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2010.11.21 02:46:14 | 000,130,800 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2010.11.21 02:46:14 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2010.11.20 23:29:34 | 000,080,896 | ---- | C] () -- C:\Windows\System32\RDVGHelper.exe
[2010.11.20 23:29:26 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 04:05:48 | 000,617,910 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,107,190 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2004.08.13 09:56:20 | 000,005,810 | ---- | C] () -- C:\Windows\System32\drivers\ASACPI.sys
 
========== LOP Check ==========
 
[2011.08.07 18:57:56 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\BSW
[2011.08.20 23:27:35 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Canon
[2011.09.01 11:17:26 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\DAEMON Tools Lite
[2011.08.20 23:28:54 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\gtk-2.0
[2011.04.08 14:34:43 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\LibreOffice
[2011.05.23 07:01:01 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\LolClient
[2011.09.02 14:17:32 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Notepad++
[2011.09.02 16:30:58 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Online Solutions
[2011.04.08 14:18:10 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\Thunderbird
[2011.08.31 09:27:07 | 000,032,634 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

< End of report >
         
aswMBR:
Code:
ATTFilter
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-02 15:37:04
-----------------------------
15:37:04.815    OS Version: Windows 6.1.7601 Service Pack 1
15:37:04.815    Number of processors: 2 586 0x1706
15:37:04.815    ComputerName: URSULA-PC  UserName: Ursula
15:37:05.455    Initialize success
15:37:41.409    AVAST engine defs: 11090200
15:37:50.441    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP5T0L0-5
15:37:50.441    Disk 0 Vendor: SAMSUNG_HD080HJ ZH100-41 Size: 76319MB BusType: 11
15:37:52.485    Disk 0 MBR read successfully
15:37:52.485    Disk 0 MBR scan
15:37:52.485    Disk 0 Windows 7 default MBR code
15:37:52.501    Disk 0 scanning sectors +156299264
15:37:52.657    Disk 0 scanning C:\Windows\system32\drivers
15:38:06.899    Service scanning
15:38:07.492    Service MpKsld994fd8c c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E422077F-18E6-4DA1-953C-0FCEA2033C71}\MpKsld994fd8c.sys **LOCKED** 32
15:38:07.508    Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
15:38:08.085    Modules scanning
15:38:19.286    Disk 0 trace - called modules:
15:38:19.301    ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS halmacpi.dll PCIIDEX.SYS msahci.sys 
15:38:19.301    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85fa8740]
15:38:19.317    3 CLASSPNP.SYS[8bbaf59e] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP5T0L0-5[0x85ede030]
15:38:19.723    AVAST engine scan C:\Windows
15:38:23.014    AVAST engine scan C:\Windows\system32
15:39:43.510    AVAST engine scan C:\Windows\system32\drivers
15:39:50.780    AVAST engine scan C:\Users\Ursula
15:41:33.258    AVAST engine scan C:\ProgramData
15:59:36.367    Scan finished successfully
16:10:02.140    Disk 0 MBR has been saved successfully to "C:\Users\Ursula\Desktop\MBR.dat"
16:10:02.140    The log file has been saved successfully to "C:\Users\Ursula\Desktop\aswMBR.log"
         
Wie gesagt, habe ich schon etliche Programme durchlaufen lassen. Die facemoods-Verbiegungen der Browser sind auch weg - können aber auch nicht ursächlich gewesen sein, weil ja schon vorm Browser-Start das Teil aktiv ist (siehe GMER) und alle Folgeaktionen verhindert oder verschleiert werden.
Ich möchte auch nochmal auf den versteckten Registry-Zweig im (nicht mehr installierten!) sptd-Dienst hinweisen. Der Pfad war "rot" und nicht zu entfernen. Ich weiß jetzt nicht mehr, welches Programm das angezeigt hatte.
Auch ist folgendes interessant:
OTL:
- O16: warum wird java 3x geladen. Kennt jemand die gültigen JAVA-GUIDs?
- O20: was sind das für VMApplet-Einträge? Ich habe keine VM installiert.
- was sind das für api-ms-win-* Einträge vom 2011.08.13. Warum sind die hidden?
Auch kann rkill zwar "alles", d.h. alle User-Prozesse killen, aber nicht die Verbiegungen am ntkrnlpa.exe d.h. irgendwo vorher muss sich das Teil schon eingeklinkt haben - oder vielleicht sogar Systemdateien ersetzt haben, um dann beim check gültige Hashwerte zurückzugeben.

Grüße
shh

Angehängte Dateien
Dateityp: txt Extras.Txt (27,5 KB, 225x aufgerufen)
Dateityp: txt combofix.txt (7,6 KB, 186x aufgerufen)
Dateityp: txt osam.txt (6,1 KB, 343x aufgerufen)
Dateityp: txt GMER.txt (5,5 KB, 193x aufgerufen)

Alt 03.09.2011, 05:19   #6
kira
/// Helfer-Team
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



- O16: warum wird java 3x geladen. Kennt jemand die gültigen JAVA-GUIDs?
für die Signaturen werden ActiveX-Steuerelemente verwendet, grundsätzlich kann man die löschen, bei Aktualisierung wird erneut installiert
- kannst für Java von Oracle, Update 27 installieren, momentan ist aktuell:-> Oracle

- O20: was sind das für VMApplet-Einträge? Ich habe keine VM installiert.
klick:
-> http://technet.microsoft.com/en-us/l.../cc939863.aspx
-> http://technet.microsoft.com/en-us/l.../cc939702.aspx

- was sind das für api-ms-win-* Einträge vom 2011.08.13. Warum sind die hidden?

Hidden heißt, versteckte (verborgene) Objekte, sollten für Unbefugte verborgen bleiben


1.
Fixen mit OTL
  • Starte die OTL.exe.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Kopiere folgendes Skript:
Code:
ATTFilter
:OTL
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011.06.08 12:21:16 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml

:Commands
[purity]
[emptytemp]
         
  • und füge es hier ein:
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf .
  • OTL verlangt einen Neustart. Bitte zulassen.
  • Nach dem Neustart findest Du ein Textdokument.
    Kopiere den Inhalt hier in Deinen Thread.

2.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

► berichte erneut über den Zustand des Computers (kurz aber möglichst genau) . Ob noch Probleme auftreten, wenn ja, welche?
__________________
--> GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK

Alt 03.09.2011, 13:00   #7
shh
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



Danke für die Antworten, aber die gehen leider am Thema vorbei.
Das Hauptproblem ist ja wie im Titel schon angegeben: ntkrnlpa.exe!ZwSaveKey + 13D1 ... und das hooken der ganzen Prozesse insbesondere IE9. Siehe GMER Sections scan.
Gibt's hier einen GMER-Spezialisten, der das klären kann?

> Hidden heißt, versteckte (verborgene) Objekte, sollten für Unbefugte verborgen bleiben

Öhm, das war ja wohl klar.
Noch mal zu Satz 1 von der Frage. Was ist das, und konkret: Wer hat die am 13.8.2011 installiert?

Code:
ATTFilter
:OTL
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011.06.08 12:21:16 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
         
Das sind nur search-plugins, die möchte ich gerne behalten. Facemoods-search hab ich entfernt; geht in FF auch via "Suchmaschinen verwalten"

Hab CCleaner nochmal laufen lassen, hat nichts zu richten gefunden. Ich möchte auch mal behaupten, dass das tool auch nicht das richtige dafür ist, um verborgene Dienste aufzudecken.

► berichte erneut über den Zustand des Computers (kurz aber möglichst genau) . Ob noch Probleme auftreten, wenn ja, welche?

Der TAB-Dauerfeuer Fehler ist noch nicht wieder aufgetaucht. Tritt aber auch nur 1,2 mal die Woche auf. Mal schaun.
Vor ner Stunde gab's nen Absturz, da konnte der PDF-Drucker nicht aufs Temp-Verzeichnis zugreifen -> Bluescreen, Neustart.

Grüße
shh

Alt 03.09.2011, 13:37   #8
shh
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



NACHTRAG:
Siehe: hxxp://www.bleepingcomputer.com/forums/topic362427.html/page__view__findpost__p__2048162
Scheinbar bringt GMER öfters die Meldung für ne modifizierte DLL. In dem thread meint m0le, das GMER.log wäre sauber, obwohl modifizierte DLLs doch ein sicheres Indiz für nen rootkit sind. Mein GMER.log sieht übrigens exakt genauso aus.
Hmm, woher kommt die DLL-Modifikation?

Alt 04.09.2011, 03:39   #9
kira
/// Helfer-Team
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



Ich denke das muss ein Treiber Problem sein!

zur Nachkontrolle:
lade zusätzlich noch das Tool HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 05.09.2011, 12:32   #10
shh
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



> Ich denke das muss ein Treiber Problem sein!

Was meinst du wäre ein Treiber-Problem?
- ntkrnlpa.exe ist ein Systemprozess auf den kein Treiber normal Zugriff hat.
- Der ATI-Treiber (= atikmdag.sys) ist der aktuellste, den es für die Grafikkarte gibt. Das war es damals für die 3D-Beschleunigung so üblich, Speicherbereiche schreibbar zu lassen. Der ATI-Treiber ist übrigens auch in der SafeList, siehe GMER.txt.

Grüße
shh
Angehängte Dateien
Dateityp: txt hijackthis.txt (2,0 KB, 184x aufgerufen)

Geändert von shh (05.09.2011 um 13:02 Uhr)

Alt 06.09.2011, 03:24   #11
kira
/// Helfer-Team
 
GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Standard

GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK



Zitat:
Zitat von shh Beitrag anzeigen
Noch mal zu Satz 1 von der Frage. Was ist das, und konkret: Wer hat die am 13.8.2011 installiert?
Bei Installation werden oft "ungefragt", ohne Einwilligung der Benutzer Programme (die nicht allzu saubere Programmierung und dadurch ausgelöste Nebenwirkungen bekannt), Erweiterungen, unsichtbare Treiber und alle mögliche installiert. Die Installation läuft im Hintergrund ab, ohne dass der User darüber informiert wird! Darunter Microsoft und diverse Spiele sind auch keine Ausnahmen!

Zitat:
Zitat von shh Beitrag anzeigen
NACHTRAG:
Scheinbar bringt GMER öfters die Meldung für ne modifizierte DLL. In dem thread meint m0le, das GMER.log wäre sauber, obwohl modifizierte DLLs doch ein sicheres Indiz für nen rootkit sind.
Das Tool GMER auch kein "Gott" und "Indiz" für Rootkit gibt es mehr wie genug, u. a.ausgelöst von Prozessen (verdächtige Verhaltensmuster, die folglich als harmlos anzusehen sind), die den Kernel manipulieren.. Nehmen wir gleich als Beispiele, einfaches Emulationsprogramme wie z.B Daemon Tools oder Alcohol
Beinhaltet Funktionen, die auch Rootkits benutzen, oder wie Alcohol, verwendet Rootkit-Techniken, um sich vor Kopierschutz-Programmen zu verstecken.

Zitat:
Zitat von shh Beitrag anzeigen
Mittlerweile habe ich den SPTD-Treiber 1.78 von Deamon-Tools entfernt/deinstalliert, trotzdem sind noch versteckte(?) Registry-Einträge im sptd-services-Zweig.
Fakt ist:
Je mehr Programme einschließlich Treiber man installiert, umso träger wird das System, umso mehr Probleme treten auf. Alle Komponenten der alten Software restlos zu entfernen nicht möglich, das System wird enorm instabil, so dass häufige Abstürze die Folge sind.
Dann im System auftretende schwerwiegende Fehler und wechselnde Probleme, sind wie mit dem Heu im Nadelhaufen finden. Warum installierst Du Windows nicht neu? Damit sollte dein Problem behoben sein...Aber vergewissere dich, dass du Windows hast!
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Geändert von kira (06.09.2011 um 04:16 Uhr)

Antwort

Themen zu GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK
absturz, adobe, autorun, defender, desktop, dll, error, explorer, file, firefox, google, internet, kaspersky, langs, logfile, malwarebytes, microsoft, mozilla thunderbird, nodrives, problem, programme, safer networking, scan, software, start menu, temp, trojaner, trojaner analyse rootkit, windows, winlogon



Ähnliche Themen: GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK


  1. GMER Logfile
    Log-Analyse und Auswertung - 13.09.2014 (9)
  2. GMER Logfile
    Log-Analyse und Auswertung - 17.02.2014 (17)
  3. Frage zu GMER
    Diskussionsforum - 24.08.2013 (1)
  4. ntkrnlpa.exe!KeInsertQueueDcp+0x265 verbraucht 4*25% cpu
    Log-Analyse und Auswertung - 15.03.2012 (17)
  5. Verdacht auf Rootkit: SYS-Dateien **LOCKED** + ntkrnlpa.exe + \Driver\atapi
    Plagegeister aller Art und deren Bekämpfung - 16.10.2011 (4)
  6. Absturz bei Adaware und escan - Scan, unregelmäßiger Bluescreen, ntkrnlpa.exe
    Log-Analyse und Auswertung - 21.03.2011 (33)
  7. Bluescreens nach Vista Neuinstallation: tdcmdpst.sys & ntkrnlpa.exe
    Alles rund um Windows - 19.02.2011 (19)
  8. Gmer log, virus?
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (7)
  9. GMER Log
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (1)
  10. Auswertung GMER Log
    Plagegeister aller Art und deren Bekämpfung - 30.01.2010 (21)
  11. Gmer meldet was
    Mülltonne - 19.01.2010 (9)
  12. Gmer Logfile
    Alles rund um Windows - 17.10.2009 (4)
  13. Anleitung Gmer und MBR.exe
    Diskussionsforum - 26.06.2009 (2)
  14. ntkrnlpa.exe infiziert von "Trojan-Dropper.Win32.Agent.bwf"
    Plagegeister aller Art und deren Bekämpfung - 17.09.2007 (6)

Zum Thema GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK - Hallo! ich habe ein Problem mit dem Entseuchen eines Rechners. Andere Trojaner und Rootkits konnte ich mittels GMER/Rkill/Malwarebyte'sAnti-MalMare schon bereinigen, hier beiße ich mir aber die Zähne aus. System: Windows - GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK...
Archiv
Du betrachtest: GMER: ntkrnlpa.exe!ZwSaveKey + 13D1, ntkrnlpa.exe!KiDispatchInterrupt + 5A2, MBR ist OK auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.