Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.09.2011, 22:04   #1
fovkeke
 
TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden - Standard

TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden



Hallo trojaner-board!

Ich hab vor ca. nem Monat aufgrund eines fehlerhaften Nvidia-Grafikkartentreibers meinen PC neu aufsetzten müssen. Da ich ein bisschen zu übereifrig war, hab ich einfach über die bestehende Version "drüberinstalliert" woraufhin ein Backupordner meines alten Systems angelegt wurde. Deshalb haben meine Verzeichnisse womöglich einen ungewöhnlichen Namen.

Zum eigentlichen Thema: Vor nem Monat hatte ich nen Virenfund und hab mir weiter nichts dabei gedacht, und das betroffene File in Quarantäne geschoben. Da ich eigentlich keine Ahnung von Viren etc. habe, dachte ich dass sich die Sache damit gegessen hat. Nun sind aber wieder 2 Files auffällig geworden. Deshalb suche ich hier nach Hilfe um meinen Pc wieder sauber zu bekommen.

Ich hab mich bzgl. meines Problems schon ein bisschen schlau gemacht, aber meistens wurden die üblichen Logfiles von OTL, gmer und malewarebytes gefordert.
Es wurden wie im Titel kurz beschrieben, die oben genannten Viren TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir entdeckt. Deshalb hab ich auch gleich mal die Programme über meinen PC drüberlaufen lassen, welche im Erstpostthread erwähnt wurden

Die Situation:

mein System laut Everest:

Computertyp: ACPI-Multiprocessor-PC
Betriebssystem: Microsoft Windows XP Professional
CPU Typ: QuadCore Intel Core 2 Quad Q6600
Motherboard Name: Abit IX38 QuadGT
Grafikkarte: NVIDIA GeForce 8800 GT (512 MB)

Ich hab mir defogger runtergeladen und die Anweisungen befolgt. Nachdem ich fertig war hat das Programm aber, entgegen der Beschreibung nicht nach einem Neustart gefragt. Deshalb hab ich ihn manuell durchgeführt. Ich hoffe, dass das korrekt war.

Danach hab ich OTL gedownloadet und alle Programme geschlossen.
Die Logfiles von OTL sehen so aus:

OTL.txt

Code:
ATTFilter
OTL logfile created on: 26.09.2011 20:26:46 - Run 1
OTL by OldTimer - Version 3.2.29.1     Folder = C:\Dokumente und Einstellungen\Pauli.BIE\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,53 Gb Available Physical Memory | 76,81% Memory free
3,85 Gb Paging File | 3,47 Gb Available in Paging File | 90,24% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 4,38 Gb Free Space | 22,41% Space Free | Partition Type: NTFS
Drive D: | 244,14 Gb Total Space | 140,09 Gb Free Space | 57,38% Space Free | Partition Type: NTFS
Drive E: | 202,08 Gb Total Space | 13,91 Gb Free Space | 6,88% Space Free | Partition Type: NTFS
Unable to calculate disk information.
 
Computer Name: BIE | User Name: Pauli | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.09.26 20:22:25 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\OTL.exe
PRC - [2011.08.03 13:49:00 | 002,255,464 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
PRC - [2011.08.03 10:58:22 | 000,265,120 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\WireHelpSvc.exe
PRC - [2011.07.11 19:26:38 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.05.17 20:08:56 | 000,073,728 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINXP\ALCFDRTM.EXE
PRC - [2011.03.28 16:15:17 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.03.28 16:14:56 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.01.07 13:12:22 | 000,253,672 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.04.21 12:59:02 | 002,869,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) -- C:\WINXP\system32\hasplms.exe
PRC - [2008.06.12 03:25:18 | 000,037,232 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe
PRC - [2008.06.11 23:43:26 | 000,640,376 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
PRC - [2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINXP\explorer.exe
PRC - [2004.02.24 16:35:06 | 002,372,760 | ---- | M] (Sygate Technologies, Inc.) -- C:\Programme\Sygate\SPF\Smc.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.08.03 10:58:22 | 000,265,120 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\WireHelpSvc.exe
MOD - [2010.06.17 15:27:02 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.09.19 20:35:40 | 000,013,160 | ---- | M] (Citrix Online, a division of Citrix Systems, Inc.) [On_Demand | Stopped] -- C:\Programme\Citrix\GoToAssist\759\g2aservice.exe -- (GoToAssist)
SRV - [2011.08.31 17:00:48 | 000,366,152 | ---- | M] (Malwarebytes Corporation) [Disabled | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011.08.04 00:34:52 | 000,411,432 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2011.08.03 13:49:00 | 002,255,464 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService)
SRV - [2011.08.03 10:58:22 | 000,265,120 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\WireHelpSvc.exe -- (WireHelpSvc)
SRV - [2011.07.11 19:26:38 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.05.25 15:14:34 | 000,053,248 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2011.03.28 16:15:04 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.12.08 00:06:40 | 000,085,096 | ---- | M] (Autodesk) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe -- (Autodesk Licensing Service)
SRV - [2010.10.28 12:13:30 | 000,293,456 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2010.02.01 15:13:02 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010.01.09 22:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 20:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.04.21 12:59:02 | 002,869,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Auto | Running] -- C:\WINXP\System32\hasplms.exe -- (hasplms)
SRV - [2004.02.24 16:35:06 | 002,372,760 | ---- | M] (Sygate Technologies, Inc.) [Auto | Running] -- C:\Programme\Sygate\SPF\Smc.exe -- (SmcService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.09.18 13:12:41 | 000,232,512 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINXP\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)
DRV - [2011.08.31 17:00:50 | 000,022,216 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINXP\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011.08.03 14:12:36 | 000,862,496 | ---- | M] (<Turtle Entertainment>) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\ESLWireACD.sys -- (ESLWireAC)
DRV - [2011.08.03 10:58:14 | 000,024,504 | ---- | M] (Turtle Entertainment GmbH) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ESLvnic.sys -- (ESLvnic1)
DRV - [2011.07.11 19:26:39 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.11 19:26:39 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.05.03 16:33:46 | 006,404,712 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2010.08.24 19:31:18 | 000,028,624 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\LUsbFilt.sys -- (LUsbFilt)
DRV - [2010.08.24 19:31:02 | 000,037,328 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2010.08.24 19:30:52 | 000,038,864 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2010.08.24 19:30:18 | 000,010,448 | ---- | M] (Logitech, Inc.) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\LBeepKE.sys -- (LBeepKE)
DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.17 15:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.11.18 07:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 07:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.03.25 14:29:52 | 000,130,432 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2009.03.13 11:55:28 | 000,586,752 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\hardlock.sys -- (hardlock)
DRV - [2009.01.16 12:42:28 | 000,352,256 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINXP\system32\drivers\aksfridge.sys -- (aksfridge)
DRV - [2005.12.07 17:27:52 | 000,013,324 | ---- | M] (Razer (Asia-Pacific) Pte Ltd) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\krait.sys -- (krait03)
DRV - [2004.02.02 10:53:28 | 000,018,518 | ---- | M] (Sygate Technologies, Inc.) [Kernel | System | Running] -- C:\WINXP\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt)
DRV - [2004.02.02 10:51:04 | 000,055,891 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINXP\SYSTEM32\Drivers\Teefer.sys -- (Teefer)
DRV - [2004.02.02 10:37:32 | 000,011,914 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINXP\SYSTEM32\Drivers\wg3n.sys -- (wg3n)
DRV - [1998.07.08 08:15:00 | 000,055,296 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINXP\system32\drivers\SSIPDDP.SYS -- (SSIPDDP)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 55 0A 6D D0 56 4D CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: D:\PROGRA~1\Office\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: D:\PROGRA~1\Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.103: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\html5video [2011.05.17 20:21:57 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Programme\DivX\DivX Plus Web Player\firefox\wpa [2011.05.17 20:21:58 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.09.17 00:56:00 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.07.04 00:44:25 | 000,000,000 | ---D | M]
 
[2011.05.17 20:09:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mozilla\Extensions
[2011.09.10 16:36:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mozilla\Firefox\Profiles\iw1xqcum.default\extensions
[2011.06.29 18:01:32 | 000,000,000 | ---D | M] (ChatZilla) -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mozilla\Firefox\Profiles\iw1xqcum.default\extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2}
[2011.09.09 17:44:13 | 000,000,000 | ---D | M] (Binnen-I be gone) -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mozilla\Firefox\Profiles\iw1xqcum.default\extensions\{b65d7d9a-4ec0-4974-b07f-83e30f6e973f}
[2011.09.09 18:16:00 | 000,000,000 | ---D | M] (Ghostery) -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mozilla\Firefox\Profiles\iw1xqcum.default\extensions\firefox@ghostery.com
[2011.07.01 18:31:00 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.05.17 20:15:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA}
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\PAULI.BIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\IW1XQCUM.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\PAULI.BIE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\IW1XQCUM.DEFAULT\EXTENSIONS\{DD05FD3D-18DF-4CE4-AE53-E795339C5F01}.XPI
[2011.05.17 20:14:50 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.07.11 22:52:00 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINXP\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.09.17 00:56:00 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.05.17 20:14:48 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.09.17 00:55:57 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.17 00:55:57 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.09.17 00:55:57 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.17 00:55:57 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.09.17 00:55:57 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.17 00:55:57 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - D:\Programme\Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINXP\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINXP\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [SmcService] C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: E&xport to Microsoft Excel - D:\Programme\Office\Office14\EXCEL.EXE (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25)
O16 - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O16 - DPF: 55963676-2F5E-4BAF-AC28-CF26AA587566 vpnweb.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 213.129.232.1 213.129.226.2 213.239.200.194
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4E1BD709-346A-4C59-93B3-A57C9A05F79E}: DhcpNameServer = 213.129.232.1 213.129.226.2 213.239.200.194
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) -C:\WINXP\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\GoToAssist: DllName - (C:\Programme\Citrix\GoToAssist\759\G2AWinLogon.dll) - C:\Programme\Citrix\GoToAssist\759\g2awinlogon.dll (Citrix Online, a division of Citrix Systems, Inc.)
O20 - Winlogon\Notify\LBTWlgn: DllName - (c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll) - c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Pauli.BIE\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Pauli.BIE\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.01.01 01:32:02 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3A03A585-7850-09ED-200E-DDA97AA1CCD6} - Browseranpassungen
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINXP\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINXP\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINXP\system32\Rundll32.exe C:\WINXP\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {ABAFCCF4-45F1-AB0B-6401-BBFF52EDDA3F} - Microsoft Windows Media Player 6.4
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {BDB5AE46-8A5A-79A6-A224-1ADF463D5773} - DirectX
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Reg Error: Value error.
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINXP\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINXP\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINXP\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIEActiveSetup SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: >{99820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: Microsoft Base Smart Card Crypto Provider Package - 
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users.WINXP^Startmenü^Programme^Autostart^Windchill ProductPoint Client Manager.lnk -  - File not found
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Pauli.BIE^Startmenü^Programme^Autostart^Dropbox.lnk - C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Dropbox\bin\Dropbox.exe - (Dropbox, Inc.)
MsConfig - StartUpReg: DAEMON Tools Lite - hkey= - key= - C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
MsConfig - StartUpReg: DivXUpdate - hkey= - key= - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
MsConfig - StartUpReg: EvtMgr6 - hkey= - key= - C:\Programme\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.09.26 20:22:24 | 000,582,656 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\OTL.exe
[2011.09.22 02:19:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Lavalys
[2011.09.19 20:58:18 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Recent
[2011.09.19 20:35:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Lokale Einstellungen\Anwendungsdaten\Citrix
[2011.09.18 13:26:17 | 000,052,736 | ---- | C] (Interplay Productions) -- C:\WINXP\ipuninst.exe
[2011.09.18 13:26:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Startmenü\Programme\Black Isle
[2011.09.18 13:12:41 | 000,232,512 | ---- | C] (DT Soft Ltd) -- C:\WINXP\System32\drivers\dtsoftbus01.sys
[2011.09.18 13:08:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\DAEMON Tools Lite
[2011.09.18 13:08:05 | 000,000,000 | ---D | C] -- C:\Programme\DAEMON Tools Lite
[2011.09.10 18:59:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Startmenü\Programme\HiJackThis
[2011.09.10 18:59:18 | 000,000,000 | ---D | C] -- C:\Programme\HiJackThis
[2011.09.10 18:50:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Malwarebytes
[2011.09.10 18:50:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.09.10 18:50:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
[2011.09.10 18:50:40 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2011.09.10 18:50:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.09.10 11:41:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\NVIDIA
[2011.09.09 18:52:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\TeamSpeak 3 Client
[2011.09.09 18:49:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Lokale Einstellungen\Anwendungsdaten\ESL Wire Game Client
[2011.09.09 18:49:34 | 000,862,496 | ---- | C] (<Turtle Entertainment>) -- C:\WINXP\System32\drivers\ESLWireACD.sys
[2011.09.09 18:49:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\ESL Wire
[2011.09.09 18:49:30 | 000,024,504 | ---- | C] (Turtle Entertainment GmbH) -- C:\WINXP\System32\drivers\ESLvnic.sys
[2011.09.09 18:49:30 | 000,000,000 | ---D | C] -- C:\Programme\EslWire
[2011.09.09 18:49:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\ESL Wire
[2011.09.02 11:09:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pauli.BIE\Eigene Dateien\BioWare
[2011.09.02 11:04:33 | 000,444,952 | ---- | C] (Creative Labs) -- C:\WINXP\System32\wrap_oal.dll
[2011.05.24 09:23:48 | 000,024,920 | ---- | C] ( ) -- C:\WINXP\System32\implode.dll
[3 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
[2 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.09.26 20:24:36 | 000,002,262 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2011.09.26 20:24:14 | 000,001,084 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job
[2011.09.26 20:24:13 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2011.09.26 20:22:25 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\OTL.exe
[2011.09.26 20:21:23 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Pauli.BIE\defogger_reenable
[2011.09.26 20:15:00 | 000,001,088 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job
[2011.09.22 02:19:30 | 000,000,739 | ---- | M] () -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\EVEREST Corporate Edition.lnk
[2011.09.22 02:02:00 | 000,002,551 | ---- | M] () -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\HiJackThis.lnk
[2011.09.22 01:17:08 | 000,280,500 | ---- | M] () -- C:\WINXP\System32\nvdrsdb0.bin
[2011.09.22 01:17:08 | 000,000,001 | ---- | M] () -- C:\WINXP\System32\nvdrssel.bin
[2011.09.22 01:05:15 | 000,280,500 | ---- | M] () -- C:\WINXP\System32\nvdrsdb1.bin
[2011.09.19 20:35:30 | 000,102,248 | ---- | M] () -- C:\Dokumente und Einstellungen\Pauli.BIE\GoToAssistDownloadHelper.exe
[2011.09.18 13:26:17 | 000,052,736 | ---- | M] (Interplay Productions) -- C:\WINXP\ipuninst.exe
[2011.09.18 13:12:41 | 000,232,512 | ---- | M] (DT Soft Ltd) -- C:\WINXP\System32\drivers\dtsoftbus01.sys
[2011.09.18 13:12:03 | 000,000,618 | ---- | M] () -- C:\WINXP\tasks\WebContent AutoUpdate 2011.job
[2011.09.18 13:08:08 | 000,001,577 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\DAEMON Tools Lite.lnk
[2011.09.10 18:50:44 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.09.09 21:42:56 | 000,448,800 | ---- | M] () -- C:\WINXP\System32\perfh007.dat
[2011.09.09 21:42:56 | 000,432,492 | ---- | M] () -- C:\WINXP\System32\perfh009.dat
[2011.09.09 21:42:56 | 000,080,108 | ---- | M] () -- C:\WINXP\System32\perfc007.dat
[2011.09.09 21:42:56 | 000,067,448 | ---- | M] () -- C:\WINXP\System32\perfc009.dat
[2011.09.09 18:52:23 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\TeamSpeak 3 Client.lnk
[2011.09.09 18:49:34 | 000,000,621 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\ESL Wire.lnk
[2011.09.02 11:04:33 | 000,444,952 | ---- | M] (Creative Labs) -- C:\WINXP\System32\wrap_oal.dll
[2011.09.02 10:58:27 | 000,000,472 | ---- | M] () -- C:\WINXP\tasks\Allplan AutoUpdate 2011-1.job
[2011.08.31 17:00:50 | 000,022,216 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[3 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
[2 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.09.26 20:21:23 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Pauli.BIE\defogger_reenable
[2011.09.22 02:19:30 | 000,000,739 | ---- | C] () -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\EVEREST Corporate Edition.lnk
[2011.09.22 01:04:53 | 002,128,778 | ---- | C] () -- C:\WINXP\System32\nvdata.data
[2011.09.19 20:35:29 | 000,102,248 | ---- | C] () -- C:\Dokumente und Einstellungen\Pauli.BIE\GoToAssistDownloadHelper.exe
[2011.09.18 13:08:08 | 000,001,577 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\DAEMON Tools Lite.lnk
[2011.09.10 18:59:19 | 000,002,551 | ---- | C] () -- C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\HiJackThis.lnk
[2011.09.10 18:50:44 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.09.09 18:52:23 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\TeamSpeak 3 Client.lnk
[2011.09.09 18:49:37 | 000,265,120 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\WireHelpSvc.exe
[2011.09.09 18:49:34 | 000,000,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\ESL Wire.lnk
[2011.06.15 18:56:33 | 000,000,056 | -H-- | C] () -- C:\WINXP\System32\ezsidmv.dat
[2011.06.09 21:18:40 | 000,055,296 | ---- | C] () -- C:\WINXP\System32\drivers\SSIPDDP.SYS
[2011.05.18 01:42:28 | 000,003,589 | ---- | C] () -- C:\WINXP\System32\nethasp.ini
[2011.05.18 01:42:28 | 000,002,042 | ---- | C] () -- C:\WINXP\System32\AUTHOR.INI
[2011.05.18 01:27:59 | 000,000,819 | ---- | C] () -- C:\WINXP\System32\_nethasp.ini
[2011.05.17 20:24:37 | 000,165,376 | ---- | C] () -- C:\WINXP\System32\unrar.dll
[2011.05.17 20:24:37 | 000,000,038 | ---- | C] () -- C:\WINXP\avisplitter.ini
[2011.05.17 20:24:36 | 000,810,496 | ---- | C] () -- C:\WINXP\System32\xvidcore.dll
[2011.05.17 20:24:36 | 000,183,808 | ---- | C] () -- C:\WINXP\System32\xvidvfw.dll
[2011.05.17 20:24:35 | 000,080,896 | ---- | C] () -- C:\WINXP\System32\ff_vfw.dll
[2011.05.17 20:09:54 | 000,000,000 | ---- | C] () -- C:\WINXP\nsreg.dat
[2011.05.17 20:02:57 | 000,049,152 | ---- | C] () -- C:\WINXP\System32\ChCfg.exe
[2011.05.17 20:02:43 | 000,073,728 | ---- | C] () -- C:\WINXP\System32\RtNicProp32.dll
[2011.05.17 19:35:00 | 000,004,212 | -H-- | C] () -- C:\WINXP\System32\zllictbl.dat
[2011.05.17 19:23:23 | 000,280,500 | ---- | C] () -- C:\WINXP\System32\nvdrsdb1.bin
[2011.05.17 19:23:23 | 000,280,500 | ---- | C] () -- C:\WINXP\System32\nvdrsdb0.bin
[2011.05.17 19:23:23 | 000,000,001 | ---- | C] () -- C:\WINXP\System32\nvdrssel.bin
[2011.05.17 19:23:17 | 002,116,894 | ---- | C] () -- C:\WINXP\System32\nvdata.bin
[2011.05.17 13:29:54 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI
[2011.05.17 13:27:08 | 000,219,248 | ---- | C] () -- C:\WINXP\System32\FNTCACHE.DAT
[2011.05.17 12:39:59 | 000,002,048 | --S- | C] () -- C:\WINXP\bootstat.dat
[2011.05.17 12:34:31 | 000,021,740 | ---- | C] () -- C:\WINXP\System32\emptyregdb.dat
[2009.01.18 20:03:52 | 001,550,200 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2008.04.14 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINXP\System32\oembios.bin
[2008.04.14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINXP\System32\mlang.dat
[2008.04.14 08:00:00 | 000,448,800 | ---- | C] () -- C:\WINXP\System32\perfh007.dat
[2008.04.14 08:00:00 | 000,432,492 | ---- | C] () -- C:\WINXP\System32\perfh009.dat
[2008.04.14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINXP\System32\perfi009.dat
[2008.04.14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINXP\System32\perfi007.dat
[2008.04.14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINXP\System32\dssec.dat
[2008.04.14 08:00:00 | 000,080,108 | ---- | C] () -- C:\WINXP\System32\perfc007.dat
[2008.04.14 08:00:00 | 000,067,448 | ---- | C] () -- C:\WINXP\System32\perfc009.dat
[2008.04.14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINXP\System32\mib.bin
[2008.04.14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINXP\System32\perfd007.dat
[2008.04.14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINXP\System32\perfd009.dat
[2008.04.14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINXP\System32\secupd.dat
[2008.04.14 08:00:00 | 000,004,463 | ---- | C] () -- C:\WINXP\System32\oembios.dat
[2008.04.14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINXP\System32\Dcache.bin
[2008.04.14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINXP\System32\noise.dat
 
========== LOP Check ==========
 
[2011.05.28 08:20:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Autodesk
[2011.05.18 01:34:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Cisco
[2011.05.24 08:00:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\DAEMON Tools Lite
[2011.05.18 01:29:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Dlubal
[2011.09.09 18:49:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\ESL Wire
[2011.05.24 09:26:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Nemetschek
[2011.06.11 01:00:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\PTC
[2011.05.28 08:20:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Autodesk
[2011.09.19 20:58:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\DAEMON Tools Lite
[2011.07.01 16:42:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Dropbox
[2011.09.19 23:41:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\HLSW
[2011.06.28 19:35:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Leadertech
[2011.06.11 00:58:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Mathsoft
[2011.05.28 10:43:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Nemetschek
[2011.06.11 01:14:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\PTC
[2011.09.19 20:58:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\uTorrent
[2011.09.02 10:58:27 | 000,000,472 | ---- | M] () -- C:\WINXP\Tasks\Allplan AutoUpdate 2011-1.job
[2011.09.18 13:12:03 | 000,000,618 | ---- | M] () -- C:\WINXP\Tasks\WebContent AutoUpdate 2011.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2009.01.18 19:50:22 | 000,000,000 | RH-D | M] -- C:\AHCache
[2011.09.22 01:14:28 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2009.01.10 16:24:19 | 000,000,000 | ---D | M] -- C:\CtDriverInstTemp
[2011.05.18 01:22:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2007.01.01 02:01:15 | 000,000,000 | ---D | M] -- C:\Intel
[2011.02.19 01:27:59 | 000,000,000 | ---D | M] -- C:\logs
[2011.05.16 22:14:35 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2007.01.01 02:19:18 | 000,000,000 | ---D | M] -- C:\Postinstall
[2011.09.18 13:08:05 | 000,000,000 | R--D | M] -- C:\Programme
[2007.01.01 02:03:34 | 000,000,000 | ---D | M] -- C:\RaidTool
[2011.05.17 19:13:47 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.05.17 12:42:04 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.09.10 11:38:48 | 000,000,000 | ---D | M] -- C:\Temp
[2008.10.20 08:10:43 | 000,000,000 | ---D | M] -- C:\VideoSec
[2011.09.22 02:15:15 | 000,000,000 | ---D | M] -- C:\WINXP
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[3 C:\WINXP\system32\*.tmp files -> C:\WINXP\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINXP\explorer.exe
[2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINXP\system32\dllcache\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2008.04.14 08:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINXP\regedit.exe
[2008.04.14 08:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINXP\system32\dllcache\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\system32\dllcache\userinit.exe
[2008.04.14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINXP\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\system32\dllcache\winlogon.exe
[2008.04.14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINXP\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-09-17 01:01:56

< End of report >
         
Extras.txt

Code:
ATTFilter
OTL Extras logfile created on: 26.09.2011 20:26:46 - Run 1
OTL by OldTimer - Version 3.2.29.1     Folder = C:\Dokumente und Einstellungen\Pauli.BIE\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,53 Gb Available Physical Memory | 76,81% Memory free
3,85 Gb Paging File | 3,47 Gb Available in Paging File | 90,24% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 4,38 Gb Free Space | 22,41% Space Free | Partition Type: NTFS
Drive D: | 244,14 Gb Total Space | 140,09 Gb Free Space | 57,38% Space Free | Partition Type: NTFS
Drive E: | 202,08 Gb Total Space | 13,91 Gb Free Space | 6,88% Space Free | Partition Type: NTFS
Unable to calculate disk information.
 
Computer Name: BIE | User Name: Pauli | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "D:\Programme\Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "D:\Programme\Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"1947:TCP" = 1947:TCP:*:Enabled:HASP SRM 
"1947:UDP" = 1947:UDP:*:Enabled:HASP SRM 
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Sony Ericsson\Update Service\Update Service.exe" = C:\Programme\Sony Ericsson\Update Service\Update Service.exe:*:Enabled:Update Service -- ()
"C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Pauli.BIE\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"D:\Programme\Valve\Steam\Steam.exe" = D:\Programme\Valve\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)
"C:\Programme\GRETECH\GomTVStreamer\GomTVStreamerLive.exe" = C:\Programme\GRETECH\GomTVStreamer\GomTVStreamerLive.exe:*:Enabled:GomTVStreamerLive -- ()
"D:\Programme\HLSW\hlsw.exe" = D:\Programme\HLSW\hlsw.exe:*:Enabled:HLSW Application -- (Stripf Software)
"C:\Programme\EslWire\wire.exe" = C:\Programme\EslWire\wire.exe:*:Enabled:ESL Wire Client -- (Turtle Entertainment GmbH)
"C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\wtvClient0.97.00\wtvClient.exe" = C:\Dokumente und Einstellungen\Pauli.BIE\Desktop\wtvClient0.97.00\wtvClient.exe:*:Enabled:wtvClient -- ()
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"D:\Programme\Valve\Steam\SteamApps\einshoch6\counter-strike\hl.exe" = D:\Programme\Valve\Steam\SteamApps\einshoch6\counter-strike\hl.exe:*:Enabled:Counter-Strike -- (Valve)
"C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe" = C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{014CF29F-D3C0-4303-B3E9-CA10AD1E6085}" = Dlubal-Anwendungen RSTAB
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{213BE58E-7FBE-4DE8-B23C-5997933D8907}" = RFEM
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java(TM) 6 Update 25
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = eReg
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5545EEE1-FA36-4F76-B6BE-5696E7F4E2D6}" = VBA (2627.01)
"{5783F2D7-6001-0409-0002-0060B0CE6BBA}" = AutoCAD 2008 - English
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{7262D0C8-41CC-4F75-8383-A6C7C61D7FC6}" = Nemetschek SoftLock 2006
"{7F44B051-B2A5-4242-9367-6E182BC90BA0}" = Dlubal RFEM 4
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{90140000-0010-0409-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (English) 14
"{90140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{90140000-0015-0409-0000-0000000FF1CE}" = Microsoft Office Access MUI (English) 2010
"{90140000-0016-0409-0000-0000000FF1CE}" = Microsoft Office Excel MUI (English) 2010
"{90140000-0018-0409-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (English) 2010
"{90140000-0019-0409-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (English) 2010
"{90140000-001A-0409-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (English) 2010
"{90140000-001B-0409-0000-0000000FF1CE}" = Microsoft Office Word MUI (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-0C0A-0000-0000000FF1CE}" = Microsoft Office Proof (Spanish) 2010
"{90140000-002C-0409-0000-0000000FF1CE}" = Microsoft Office Proofing (English) 2010
"{90140000-0044-0409-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (English) 2010
"{90140000-006E-0409-0000-0000000FF1CE}" = Microsoft Office Shared MUI (English) 2010
"{90140000-00A1-0409-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (English) 2010
"{90140000-00BA-0409-0000-0000000FF1CE}" = Microsoft Office Groove MUI (English) 2010
"{90140000-0115-0409-0000-0000000FF1CE}" = Microsoft Office Shared Setup Metadata MUI (English) 2010
"{90140000-0117-0409-0000-0000000FF1CE}" = Microsoft Office Access Setup Metadata MUI (English) 2010
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A346205-EA92-4406-B1AB-50379DA3F057}" = Autodesk DWF Viewer 7
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-1033-F400-7760-000000000004}" = Adobe Acrobat 9 Pro - English, Français, Deutsch
"{AC76BA86-1033-F400-7760-000000000004}{AC76BA86-1033-F400-7760-000000000004}" = Adobe Acrobat 9 Pro - English, Français, Deutsch
"{AEB9948B-4FF2-47C9-990E-47014492A0FE}" = MSXML 6.0 Parser
"{AF2A8E58-DBC6-36D3-A145-7252029F6F48}" = Microsoft Report Viewer Redistributable 2008 SP1
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 280.26
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 135.94
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.4.28
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C65ABF2A-1B82-4F34-8C74-E4FE373F3BE4}" = 'PTC Places' Namespace Shell Extension
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"{DC8F6C78-7231-44A2-B66E-6C4FCB3A3364}" = Mathcad 15 F000
"{DF71C8D1-9258-4504-89AF-BA80748CC0D2}" = Nemetschek Allplan 2011
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{F110F974-B24A-40AE-87BC-48A7F9001AF2}" = RFEM
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F860F390-78F4-4B45-8C1A-0489618E315B}" = Sygate Personal Firewall
"{FA61FF86-2479-D620-9F6B-655ADD4225B4}" = General Runtime Files for Allplan 2011-1 Release
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AutoCAD 2008 - English" = AutoCAD 2008 - English
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DAEMON Tools Lite" = DAEMON Tools Lite
"Defraggler" = Defraggler
"DivX Setup.divx.com" = DivX-Setup
"ESL Wire_is1" = ESL Wire 1.10.1
"EVEREST Corporate Edition_is1" = EVEREST Corporate Edition v5.50
"Fallout2" = Fallout2
"GOM Player" = GOM Player
"GomTVStreamer" = GOMTV Streamer
"GoToAssist" = GoToAssist Corporate
"HLSW_is1" = HLSW v1.3.3.7b
"KLiteCodecPack_is1" = K-Lite Codec Pack 7.0.0 (Full)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Report Viewer Redistributable 2008 SP1" = Microsoft Report Viewer Redistributable 2008 SP1
"Mozilla Firefox 6.0.2 (x86 de)" = Mozilla Firefox 6.0.2 (x86 de)
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
"OpenAL" = OpenAL
"sp6" = Logitech SetPoint 6.22
"Steam App 400" = Portal
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"Update Service" = Sony Ericsson Update Service
"uTorrent" = µTorrent
"VLC media player" = VLC media player 1.1.11
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Winamp" = Winamp
"WinRAR archiver" = WinRAR 4.00 (32-Bit)
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 22.06.2011 16:28:24 | Computer Name = BIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 23.06.2011 06:26:27 | Computer Name = BIE | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 23.06.2011 06:26:30 | Computer Name = BIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 24.06.2011 07:16:22 | Computer Name = BIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 24.06.2011 07:19:51 | Computer Name = BIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 24.06.2011 07:21:18 | Computer Name = BIE | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 5.0.0.4183, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 27.06.2011 15:51:30 | Computer Name = BIE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 27.06.2011 15:51:35 | Computer Name = BIE | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 27.06.2011 17:12:58 | Computer Name = BIE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung skype.exe, Version 5.3.0.116, fehlgeschlagenes
 Modul skype.exe, Version 5.3.0.116, Fehleradresse 0x00194300.
 
Error - 27.06.2011 18:24:29 | Computer Name = BIE | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
[ Cisco AnyConnect VPN Client Events ]
Error - 21.09.2011 19:13:56 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CHttpSessionAsync::OnTransportInitiateComplete File: .\IP\HttpSessionAsync.cpp
Line:
 1002 Invoked Function: ISocketTransportCB::OnTransportInitiateComplete Return Code:
 -31522780 (0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT 
 
Error - 21.09.2011 19:13:56 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CHttpProbeAsync::OnOpenRequestComplete File: .\IP\HttpProbeAsync.cpp
Line:
 254 Invoked Function: CHttpSessionAsync::OnOpenRequestComplete Return Code: -31522780
 (0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT 
 
Error - 21.09.2011 19:13:56 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CSocketTransport::OnTimerExpired File: .\IPC\SocketTransport.cpp
Line:
 1175 Invoked Function: CSocketTransport::postConnectProcessing Return Code: -31522780
 (0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT 
 
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CHttpSessionAsync::OnTransportInitiateComplete File: .\IP\HttpSessionAsync.cpp
Line:
 1002 Invoked Function: ISocketTransportCB::OnTransportInitiateComplete Return Code:
 -31522780 (0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT 
 
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CHttpProbeAsync::OnOpenRequestComplete File: .\IP\HttpProbeAsync.cpp
Line:
 254 Invoked Function: CHttpSessionAsync::OnOpenRequestComplete Return Code: -31522780
 (0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT 
 
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CSocketTransport::OnTimerExpired File: .\IPC\SocketTransport.cpp
Line:
 1175 Invoked Function: CSocketTransport::postConnectProcessing Return Code: -31522780
 (0xFE1F0024) Description: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT 
 
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CNetEnvironment::TestAccessToSG File: .\NetEnvironment.cpp
Line:
 1020 Invoked Function: CNetEnvironment::analyzeHttpResponse Return Code: -28901363
 (0xFE47000D) Description: NETENVIRONMENT_ERROR_PROBE_INCOMPLETE:Network Probe could
 not contact target 
 
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CNetEnvironment::testNetwork File: .\NetEnvironment.cpp Line:
 856 Invoked Function: CNetEnvironment::IsSGAccessible Return Code: -28901363 (0xFE47000D)
Description:
 NETENVIRONMENT_ERROR_PROBE_INCOMPLETE:Network Probe could not contact target 
 
Error - 21.09.2011 19:14:04 | Computer Name = BIE | Source = vpnagent | ID = 67108866
Description = Function: CNetEnvironment::TestNetEnv File: .\NetEnvironment.cpp Line:
 190 Invoked Function: CNetEnvironment::testNetwork Return Code: -28901363 (0xFE47000D)
Description:
 NETENVIRONMENT_ERROR_PROBE_INCOMPLETE:Network Probe could not contact target 
 
Error - 21.09.2011 19:14:21 | Computer Name = BIE | Source = vpnagent | ID = 67110873
Description = Termination reason code 7: The agent has been stopped.
 
[ System Events ]
Error - 21.09.2011 17:57:34 | Computer Name = BIE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst vpnagent.
 
Error - 21.09.2011 17:57:34 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1332
 
Error - 21.09.2011 18:50:40 | Computer Name = BIE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst vpnagent.
 
Error - 21.09.2011 18:50:40 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1332
 
Error - 21.09.2011 19:13:08 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1332
 
Error - 21.09.2011 19:13:08 | Computer Name = BIE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst vpnagent.
 
Error - 21.09.2011 19:24:59 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1332
 
Error - 22.09.2011 17:11:06 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1332
 
Error - 26.09.2011 13:41:00 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1332
 
Error - 26.09.2011 14:24:30 | Computer Name = BIE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SSIPDDP: Parallel port device driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1332
 
 
< End of report >
         
Danach hab ich GMER runtergeladen, da ich ein 32-bit System habe.
Es wurden alle Programme geschlossen, das Netzwerkkabel gezogen und alle Antivirenscanner wie beschrieben abgeschalten.
Das log von GMER:

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-09-26 21:21:13
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-a SAMSUNG_HD501LJ rev.CR100-12
Running: 7dzd7yxs.exe; Driver: C:\DOKUME~1\Pauli.BIE\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT                                                                                                                                  B875E854                                                                         ZwClose
SSDT                                                                                                                                  B875E80E                                                                         ZwCreateKey
SSDT                                                                                                                                  B875E85E                                                                         ZwCreateSection
SSDT                                                                                                                                  B875E804                                                                         ZwCreateThread
SSDT                                                                                                                                  B875E813                                                                         ZwDeleteKey
SSDT                                                                                                                                  B875E81D                                                                         ZwDeleteValueKey
SSDT                                                                                                                                  B875E84F                                                                         ZwDuplicateObject
SSDT                                                                                                                                  B875E822                                                                         ZwLoadKey
SSDT                                                                                                                                  \??\C:\WINXP\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)  ZwMapViewOfSection [0xB84A98D0]
SSDT                                                                                                                                  B875E7F0                                                                         ZwOpenProcess
SSDT                                                                                                                                  B875E7F5                                                                         ZwOpenThread
SSDT                                                                                                                                  B875E82C                                                                         ZwReplaceKey
SSDT                                                                                                                                  B875E827                                                                         ZwRestoreKey
SSDT                                                                                                                                  B875E863                                                                         ZwSetContextThread
SSDT                                                                                                                                  B875E818                                                                         ZwSetValueKey
SSDT                                                                                                                                  \??\C:\WINXP\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)  ZwShutdownSystem [0xB84A9E70]
SSDT                                                                                                                                  B875E7FF                                                                         ZwTerminateProcess
SSDT                                                                                                                                  \WINXP\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation)       ZwOpenKey [0x804D7FE7]
SSDT                                                                                                                                  \WINXP\system32\ntkrnlpa.exe[unknown section] [804D7FE7]                         ZwOpenKey [0x804D7FE7]

INT 0x03                                                                                                                              \WINXP\system32\ntkrnlpa.exe[unknown section]                                    804D7FF1

---- Kernel code sections - GMER 1.0.15 ----

.text                                                                                                                                 ntkrnlpa.exe!ZwCallbackReturn + 2C48                                             805044E4 4 Bytes  CALL D1FEFD5E 
.text                                                                                                                                 ntkrnlpa.exe!ZwCallbackReturn + 2C88                                             80504524 4 Bytes  [0E, E8, 75, B8]
.text                                                                                                                                 ntkrnlpa.exe!ZwCallbackReturn + 2CAC                                             80504548 4 Bytes  CALL D0CEFDC2 
.text                                                                                                                                 ntkrnlpa.exe!ZwCallbackReturn + 2CB8                                             80504554 4 Bytes  CALL EFEEFDCE 
.text                                                                                                                                 ntkrnlpa.exe!ZwCallbackReturn + 2CE0                                             8050457C 4 Bytes  CALL D30AFDF6 
.text                                                                                                                                 ...                                                                              
.text                                                                                                                                 C:\WINXP\system32\DRIVERS\nv4_mini.sys                                           section is writeable [0xB6D983A0, 0x8A1A15, 0xE8000020]
.text                                                                                                                                 tcpip.sys!IPTransmit + 10FC                                                      B2146D3A 6 Bytes  CALL B7DE0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text                                                                                                                                 tcpip.sys!IPTransmit + 2A52                                                      B2148690 6 Bytes  CALL B7DE0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text                                                                                                                                 tcpip.sys!IPRegisterProtocol + 930                                               B215E454 6 Bytes  CALL B7DE0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text                                                                                                                                 wanarp.sys                                                                       B6C5C3FD 7 Bytes  CALL B7DE0350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text                                                                                                                                 C:\WINXP\system32\drivers\aksfridge.sys                                          section is writeable [0xB09D1000, 0x47E35, 0xE0000020]
.init                                                                                                                                 C:\WINXP\system32\drivers\aksfridge.sys                                          entry point in ".init" section [0xB0A25224]
.init                                                                                                                                 C:\WINXP\system32\drivers\aksfridge.sys                                          unknown last code section [0xB0A25000, 0x4000, 0xE20000E0]
.text                                                                                                                                 C:\WINXP\system32\drivers\hardlock.sys                                           section is writeable [0xB086F400, 0x6E292, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB08F9420]  C:\WINXP\system32\drivers\hardlock.sys                                           entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB08F9420]
.protectÿÿÿÿhardlockunknown last code section [0xB08F9200, 0x511A, 0xE0000020]                                                        C:\WINXP\system32\drivers\hardlock.sys                                           unknown last code section [0xB08F9200, 0x511A, 0xE0000020]

---- Devices - GMER 1.0.15 ----

Device                                                                                                                                \Driver\Tcpip \Device\Ip                                                         wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device                                                                                                                                \Driver\Tcpip \Device\Tcp                                                        wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device                                                                                                                                \Driver\Tcpip \Device\Udp                                                        wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device                                                                                                                                \Driver\Disk \Device\Harddisk0\DR0                                               aksfridge.sys (Ancillary Function Driver/Aladdin Knowledge Systems Ltd.)
Device                                                                                                                                \Driver\Tcpip \Device\RawIp                                                      wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device                                                                                                                                \Driver\Tcpip \Device\IPMULTICAST                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
Anschließend die Logfiles von meinen 3 Untersuchungen und den dazugehörigen Funden.
Da mein Beitrag sonst zu groß geworden wäre, befinden sich die Antivir.logs im Anhang.

Ich hoffe Ihr könnt mir weiterhelfen meinen PC wieder sauber zu bekommen.
Falls irgendetwas falsch gemacht wurde, bzw. etwas fehlt versuche ich es so schnell wie möglich nachzuliefern, bzw. zu korregieren.

Vielen Dank schonmal!

mfg

edit:

gerade nochmal 2 datein infiziert gewesen. irgendwie hat der malewarebytesscan ne warnung bei antivir getriggert.
das log von malewarebytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7802

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.09.2011 22:41:39
mbam-log-2011-09-26 (22-41-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 440408
Laufzeit: 1 Stunde(n), 10 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
e:\system volume information\_restore{e778ba52-e8bb-4c70-b6b9-0d114c4d42a1}\RP75\A0047622.EXE (Trojan.Agent.Gen) -> No action taken.
         
obwohl da steht dass ich nichts gemacht hab, wurde sehrwohl "datei löschen" gewählt :/ vielleicht wurde es nicht gelöscht, da antivir es zuerst in die quarantäne gesteckt hat.
die auswertungen von antivir befinden sich im 2ten anhang:

Geändert von fovkeke (26.09.2011 um 22:55 Uhr) Grund: zusätzliches logfile

Alt 27.09.2011, 13:47   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden - Standard

TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden



Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________

__________________

Alt 28.09.2011, 00:04   #3
fovkeke
 
TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden - Standard

TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden



hallo cosinus!

danke für die rasche antwort.

anbei befinden sich die protection logs und die normalen mbam logs jeweils als zip datei.

eigentlich sollt ich mich nicht wundern, dass sich der PC was eingefangen hat, bei den datein die da anscheinend auf der festplatte draufliegen.
naja, das kommt davon wenn man keinen eigenen Pc hat.

ich hoffe du kannst damit was anfangen.

mfg
__________________

Alt 28.09.2011, 10:29   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden - Standard

TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden



Zitat:
d:\system volume information\_restore{e778ba52-e8bb-4c70-b6b9-0d114c4d42a1}\RP70\A0038106.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
e:\backup vom absturz 17.05.2011\Pauli\eigene dateien\downloads\office_professional_plus_2010_(x86)-(german)\aktivieren\mini-kms_activator_v1.052.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
e:\Dateien\patches,spiele\Keys\o&o.defrag.v8.5.1788.professional.edition.keygen\o&o.products-keygen.exe (Riskware.Tool.CK) -> Quarantined and deleted successfully.
e:\downloads\Fertige\programme\autocad 2008 iso {blitzer}\autocad 2008 iso retail with keygen {blitzer}\autocad_2008_keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.


Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.09.2011, 15:54   #5
fovkeke
 
TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden - Standard

TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden



das hab ich mir schon gedacht.
auch wenn ich bezweifle nochmal ne antwort zu erhalten, versuche ich es trotzdem mal.
ich hab mir den PC mit anderen leuten teilen müssen, weshalb ich nicht immer den überblick hatte wer was gemacht hat.
da kann es schon gut sein, dass wer was auf den PC raufgespielt hat.
ich bin da jetzt nicht schuldlos, da ich drauf achten hätte sollen, aber man kann ja nie alles wissen. :/
falls ihr trotzdem, wie ich leider annehme, nichts mehr zu sagen habt könnt ihr das thema schließen.

danke für die hilfe.

edit: sollte ich dann das komplette system formatieren?
ich mein, woher weiß ich dass der virus nicht nach dem formatieren des systemlaufwerks wieder da ist? ich hab bis jetzt ja das system noch nicht vollständig gereinigt :/


Geändert von fovkeke (28.09.2011 um 16:01 Uhr) Grund: zusätzliche frage

Alt 28.09.2011, 16:38   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden - Standard

TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden



Zitat:
ich mein, woher weiß ich dass der virus nicht nach dem formatieren des systemlaufwerks wieder da ist?
- man sichert nur persönlich Dateien und keine ausführbaren, also keine Programme, Spiele oder Setups

- Sicherung über Live-CD wie Ubuntu oder Knoppix oder andere beliebige Distro

- nach Sicherung auf externem Medium kann die interne Platte über das Windows-Setup von CD/DVD komplett geleert werden (alle Partition auflösen, neu erstellen und formatieren
__________________
--> TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden

Antwort

Themen zu TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden
0x00000001, 32-bit, 7-zip, adobe, antivir, avira, bho, black, browser, crypto, device driver, document, einstellungen, error, excel, excel.exe, firefox, flash player, fontcache, format, helper, hijack, homepage, mbamservice.exe, microsoft office word, nvidia update, object, realtek, registry, rundll, scan, security, teamspeak, tr/kazy.23203, tr/psw.dybalom.ggb.1, tr/trash.gen, trojan.agent.ge, trojaner-board, udp, windows, windows xp



Ähnliche Themen: TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden


  1. Adware.Gen7 - Adware/Cherished.oia - Adware/InstallCore.Gen9 - TR/Trash.Gen bei Antivir gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.12.2014 (13)
  2. Antivir hat TR/TRASH .GEN und ADWARE/DealPly.o gefunden - was nun?
    Plagegeister aller Art und deren Bekämpfung - 15.06.2014 (18)
  3. Antivir meldet TR/Trash.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.05.2014 (9)
  4. Trash.gen etc. gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (6)
  5. TR/Trash.gen von antivir gefunden
    Plagegeister aller Art und deren Bekämpfung - 08.10.2013 (9)
  6. Erst nur Fund tr/bublik.65536.126 - dann tr/trash.gen (Antivir)
    Log-Analyse und Auswertung - 28.03.2013 (43)
  7. TR/Kazy.44028.5 Avira ANTIVIR gefunden
    Log-Analyse und Auswertung - 16.11.2011 (3)
  8. 4 Trojaner Kazy, Dofoil, Jorik.Spyeyes, Spy.Gen gefunden durch AntiVir
    Log-Analyse und Auswertung - 05.06.2011 (9)
  9. Tr/Ramnit.D und TR/Trash.GEn von Antivir gefunden, Symantec hat 097M.Dropper gefunden
    Log-Analyse und Auswertung - 20.04.2011 (7)
  10. TR/Trash.Gen gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.12.2010 (28)
  11. TR/Trash.Gen gefunden
    Mülltonne - 06.12.2010 (2)
  12. Antivir findet TR/Trash.Gen' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (5)
  13. Virusmeldung TR/PSW.Dybalom.epc
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (1)
  14. Antivir meldet ständig neue Trojaner wie TR/Trash.Gen
    Log-Analyse und Auswertung - 17.08.2010 (6)
  15. avira antivir meldet TR/Trash.Gen und PC reagiert kaum noch
    Plagegeister aller Art und deren Bekämpfung - 14.07.2010 (1)
  16. AntiVir meldet Trojaner TR/Trash.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.11.2009 (5)
  17. Antivir meldet TR/Trash.Gen' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (24)

Zum Thema TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden - Hallo trojaner-board! Ich hab vor ca. nem Monat aufgrund eines fehlerhaften Nvidia-Grafikkartentreibers meinen PC neu aufsetzten müssen. Da ich ein bisschen zu übereifrig war, hab ich einfach über die bestehende - TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden...
Archiv
Du betrachtest: TR/Trash.Gen, TR/PSW.Dybalom.ggb.1 und TR/Kazy.23203 per Antivir gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.