Sirefef.P und Bundestrojaner

Glaums · 10.12.2011, 18:29

Hallo Trojaner,

ich habe folgendes Problem: Nachdem mir Microsoft Security Essentials (MSE) über eine Woche lang Virenwarnungen angegeben hat und nicht in der Lage war diese zu beseitigen, führte ich die hier angegebene Prozedur zur Analyse des Problems aus. Als ich alle Daten zusammen hatte, begann ich den Beitrag zu schreiben, in welchen ich mein Problem so genau wie möglich schildern wollte. Während dessen, wurde ein Bundestrojaner aktiv. Er gibt sich als Bundespolizei aus, behauptet man hätte Terroristische Aktivitäten, Kinderpornographie und Spamware auf dem Rechner gefunden und sperrt den Account. Seit dem kann ich nur noch über einen zweiten Account auf meinen Rechner zugreifen. Nach kurzer Recherche im Internet, habe ich meine bis zum Crash ungesicherten Daten, mittels einer Boot-CD von Ubuntu 10.10 gesichert. Nun bin ich mir unsicher wie ich weiter vorgehen soll.

Hier im Detail, was passiert ist und was ich getan habe:

Virusmeldungen
Microsoft Security Essentials (MSE) gab mir seit ca. einer Woche nach jedem Hochfahren des Computers und immer mal wieder während des Betriebs die Meldung aus, es habe den Virus Sirefef.P gefunden. Im Verlauf von MSE wird angegeben, dass am 19.11.2012 der Virus Trojan:JS/BlacoleRef.G gefunden und entfernt wurde. Das ständige Problem entstand jedoch erst am 2.12.2012, wo MSE in kurzen Abständen (teilweise Sekundentakt) die Viren Trojan:Win32/Sirefef.S (und Sirefef.P), Trojan:Win64/Sirefef.E (und Sirefef.D), Virus:Win32/Patchload.O, Backdoor:Win32/Cycbot.B, Trojan:JS/Blacoleref.G gefunden und entfernt, desinfiziert oder in Quarantäne gesteckt hat. Nur Virus:Win32/Patchload.O wurde zweimal und Trojan:Win32/Sirefef.P wurde einmal zugelassen, wobei ich mich erinnere, dass ich es einmal selber zugelassen habe, als ich so ein neu aufgetauchtes Problem mit meinem WLAN lösen wollte. Innerhalb von 6 Stunden gab es 57 dieser Meldungen. In den nächsten Tagen gab es immer wieder solche Meldungen, wenn auch wesentlich weniger, mit den gleichen Virentypen. Dabei wurde Trojan:Win32/Sirefef.P heute 1mal zugelassen ohne das ich dies bestätigt hätte. Ein Grund liegt vielleicht darin, dass MSE den Virus zulässt, wenn man nicht aktiv das Löschen bestätigt.

Scans durch MSE und Malwarebytes' Anti-Malware
Nachdem das Problem aufgetreten ist, habe ich mehrfach die Viren mit MSE entfernt, desinfiziert oder in Quarantäne geschoben und nach Empfehlung von MSE den Computer neu gestartet. Nachdem dies nichts geholfen hat, habe ich bei Google nach dem Problem gesucht. Dazu habe ich einen anderen Rechner nutzen müssen, denn mein Netzmanager, welchen ich von der Telekom installiert hatte, startet nicht mehr mit der Meldung „Der Dienst des Netzmanagers für Erfassung von Netzwerk- und Systeminformationen mit dem Namen „Netzmanager Service“ ist nicht erreichbar.“ Daraufhin wurde eine Neuinstallation des Netzmanagers empfohlen, die ich zweimal durchgeführt habe. Ohne Erfolg. In Folge habe ich den kompletten Scan mit MSE im abgesicherten Modus (mit und ohne Netzwerktreiber durchgeführt). Ich habe mir von der Seite Microsoft Malware Protection Center die neuesten Virendefinitionen (mpam-fe.exe) für den MSE herunter geladen und erneut einen Scan im abgesicherten Modus durchgeführt. Ich habe Malwarebytes' Anti-Malware (mbam-setup-1.51.2.1300.exe) herunter geladen, installiert und einen Scan in beiden BS Modi durchgeführt. Leider habe ich zu diesem Zeitpunkt keine Scanberichte gespeichert.

Sonstige installierte und ausgeführte Software
Zur Analyse habe ich zudem dds.scr und SecurityCheck.exe installiert und ausgeführt. Dies war als Hilfe für eine Analyse in einem anderem Forum angedacht, was ich jedoch nicht realisiert hatte (ich wollte zu diesem Zeitpunkt das Problem im Alleingang lösen und habe schnell ausgeführt, was zu dem Problem geschrieben wurde (nicht gerade clever, ich weiß)). Bei der Detailbeschreibung tauchte die Datei lvvm.exe auf. Nach der Recherche habe ich daher sdsetup_revwire207.exe herunter geladen und installiert, um das Problem zu beseitigen. Zudem habe ich die svchostanalyzer.exe installiert und ausgeführt.

Trojaner Board
Für die Problemlösung auf diesem Board habe ich die entsprechenden Analysen durchgeführt und folgende Dateien erhalten (extras_gmer.zip und otl.txt).

Fragen
In der Hilfe wurde geschrieben nur eine Neuinstallation kann das Problem beseitigen. Ich hatte dieses Jahr schon einen Plattencrash und hatte bei der nochmaligen Aktivierung meiner XP-Version Problem mit dem Microsoft Support.

1) Geht das Problem auch ohne Neuinstallation zu lösen?
2) Wie kann ich Sicherstellen, dass sich auf externen Speichern der Virus nicht ebenfalls eingenistet hat?
2) Angeblich soll MSE in der Lage sein sowohl den Bundestrojaner, als auch den Virus Sirefef.P zu beseitigen. Tatsächlich hat das nicht funktioniert. Wie kann ich mich in Zukunft besser schützen?

OTL

OTL logfile created on: 07.12.2011 22:29:31 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = c:\Dokumente und Einstellungen\Glaums\Eigene Dateien\abc...xyz\virus\otl
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1022,73 Mb Total Physical Memory | 645,59 Mb Available Physical Memory | 63,12% Memory free
3,90 Gb Paging File | 3,63 Gb Available in Paging File | 93,04% Paging File free
Paging file location(s): C:\pagefile.sys 3072 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 279,45 Gb Total Space | 179,40 Gb Free Space | 64,20% Space Free | Partition Type: NTFS
Drive D: | 1,89 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive F: | 3,73 Gb Total Space | 0,29 Gb Free Space | 7,86% Space Free | Partition Type: FAT32
Drive I: | 6,67 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 7,47 Gb Total Space | 1,01 Gb Free Space | 13,50% Space Free | Partition Type: FAT32

Computer Name: SCOON | User Name: Glaums | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011.12.07 15:39:24 | 000,584,192 | ---- | M] (OldTimer Tools) -- c:\Dokumente und Einstellungen\Glaums\Eigene Dateien\abc...xyz\virus\otl\OTL.exe
PRC - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
PRC - [2011.06.15 14:16:48 | 000,997,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2011.04.27 14:39:26 | 000,004,164 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
PRC - [2009.08.27 16:09:10 | 001,250,408 | ---- | M] (MAGIX AG) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
PRC - [2008.11.09 21:31:30 | 000,741,376 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\UI.exe
PRC - [2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.04.11 18:00:00 | 000,032,768 | R--- | M] (Creative Technology Ltd.) -- C:\WINDOWS\V0470Mon.exe
PRC - [2003.05.29 15:28:32 | 000,790,528 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
PRC - [2002.09.20 14:50:10 | 000,041,968 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

========== Modules (No Company Name) ==========

MOD - [2011.07.29 00:09:42 | 000,096,112 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
MOD - [2008.11.09 21:31:30 | 000,741,376 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\UI.exe
MOD - [2008.10.27 03:35:08 | 000,110,592 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\GWLanController.dll
MOD - [2008.09.25 13:04:24 | 000,018,944 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\GWPSController.dll
MOD - [2008.06.20 17:02:46 | 000,247,296 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll

========== Win32 Services (SafeList) ==========

SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - [2011.07.13 12:01:28 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2011.04.27 14:39:26 | 000,004,164 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)
SRV - [2010.11.04 15:41:46 | 000,011,264 | ---- | M] (Deutsche Telekom AG) [Auto | Stopped] -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service)
SRV - [2010.02.19 12:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)
SRV - [2009.08.27 16:09:10 | 001,250,408 | ---- | M] (MAGIX AG) [Unknown | Running] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2008.08.07 10:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2002.09.20 14:50:10 | 000,041,968 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))

========== Driver Services (SafeList) ==========

DRV - [2011.12.07 22:22:23 | 000,041,680 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\xbrfxnbn.sys -- (xbrfxnbn)
DRV - [2011.12.07 22:19:42 | 000,029,904 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A68ADCCD-59CE-4ADC-808D-FD293D86BD16}\MpKsl8631acdb.sys -- (MpKsl8631acdb)
DRV - [2011.09.16 21:55:06 | 000,717,296 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2011.08.29 01:20:59 | 000,120,320 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV65.sys -- (SSHDRV65)
DRV - [2011.02.11 22:23:34 | 000,035,088 | ---- | M] (CACE Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\npf.sys -- (npf)
DRV - [2010.09.16 16:02:33 | 000,035,040 | ---- | M] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys -- (TelekomNM3)
DRV - [2009.01.19 19:31:56 | 000,277,544 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\acedrv11.sys -- (acedrv11)
DRV - [2008.10.29 13:34:40 | 000,644,096 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt2870.sys -- (rt2870)
DRV - [2008.04.13 23:16:10 | 000,049,024 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mstape.sys -- (MSTAPE)
DRV - [2008.04.13 23:16:08 | 000,013,696 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avcstrm.sys -- (AVCSTRM)
DRV - [2007.12.05 06:26:40 | 002,782,208 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2007.04.20 18:00:00 | 000,146,368 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\V0470Vid.sys -- (VF0470Vid) Live! Cam Notebook (VF0470)
DRV - [2006.11.28 20:46:20 | 000,027,072 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\PCASp50.sys -- (PCASp50)
DRV - [2005.08.17 23:00:00 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
DRV - [2002.09.20 09:53:34 | 000,235,100 | ---- | M] (Analog Devices Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MidiSyn.sys -- (MidiSyn)
DRV - [2002.04.03 19:33:18 | 000,045,568 | ---- | M] (CNet Technology Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\R8139n51.sys -- (rtl8139)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

========== FireFox ==========

FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 60727
FF - prefs.js..network.proxy.type: 0

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\support@predictad.com: C:\Programme\AutocompletePro\support@predictad.com [2011.06.29 16:27:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011.07.26 10:20:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.10 14:29:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.09.19 20:25:23 | 000,000,000 | ---D | M]

[2011.04.27 21:37:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Extensions
[2011.11.17 02:13:44 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\extensions
[2011.06.01 08:36:08 | 000,000,000 | ---D | M] (Fire.fm) -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\extensions\{6F0976E6-26F3-4AFE-BBEC-9E99E27E4DF3}
[2011.11.25 18:38:51 | 000,001,952 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\searchplugins\billigerde-suche.xml
[2011.05.26 13:19:00 | 000,002,614 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\searchplugins\wiki-aventurica-de.xml
[2011.11.10 14:29:28 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{37E4D8EA-8BDA-4831-8EA1-89053939A250}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{C0C9A2C7-2E5C-4447-BC53-97718BC91E1B}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{D4DD63FA-01E4-46A7-B6B1-EDAB7D6AD389}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{EF522540-89F5-46B9-B6FE-1829E2B572C6}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\5@THUMBPRO.NET.XPI
[2011.04.26 00:11:48 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.11.10 14:29:24 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.04.26 00:11:48 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.03.22 19:38:12 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2011.10.01 17:56:58 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.01 17:56:58 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.10.01 17:56:58 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.10.01 17:56:58 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.01 17:56:58 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.01 17:56:58 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2011.04.28 19:46:08 | 000,000,882 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Programme\AutocompletePro\AutocompletePro.dll (SimplyGen)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AtiPTA] C:\WINDOWS\System32\atiptaxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [BrStsWnd] C:\Programme\Brownie\BrstsWnd.exe (brother)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [V0470Mon.exe] C:\WINDOWS\V0470Mon.exe (Creative Technology Ltd.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKCU..\Run: [AdobeBridge] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Speedport W 102 WLAN Manager.lnk = C:\Programme\DT\Speedport W 102 Stick\UI.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Netzmanager.lnk = C:\Programme\Netzmanager\netzmanager.exe (Deutsche Telekom AG)
O4 - Startup: C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Total Commander.lnk = C:\Programme\totalcmd\TOTALCMD.EXE (Ghisler Software GmbH)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Anexar em PDF existente - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html File not found
O8 - Extra context menu item: Converter destino de link em Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html File not found
O8 - Extra context menu item: Converter destino de link em PDF existente - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html File not found
O8 - Extra context menu item: Converter links selecionados em PDF existente - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - mswsock.dll File not found
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6D27A40D-AB22-4BF3-826D-9AC751A3B760}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{79D1A173-422D-46B5-92A0-BEFC946B3063}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.25 08:36:49 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011.05.30 10:11:12 | 000,000,105 | R--- | M] () - D:\Autorun.inf -- [ UDF ]
O32 - AutoRun File - [2008.05.06 13:26:23 | 000,000,309 | R--- | M] () - I:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{07206abc-71bd-11e0-aea4-0008a14db1ba}\Shell - "" = AutoRun
O33 - MountPoints2\{07206abc-71bd-11e0-aea4-0008a14db1ba}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{07206abc-71bd-11e0-aea4-0008a14db1ba}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{2011e308-76f8-11e0-aeae-0008a14db1ba}\Shell - "" = AutoRun
O33 - MountPoints2\{2011e308-76f8-11e0-aeae-0008a14db1ba}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2011e308-76f8-11e0-aeae-0008a14db1ba}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447)
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

NetSvcs: 6to4 - File not found
NetSvcs: HidServ - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found

CREATERESTOREPOINT
Restore point Set: OTL Restore Point

========== Files/Folders - Created Within 30 Days ==========

File not found -- C:\WINDOWS\System32\
[2011.12.07 22:22:23 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\xbrfxnbn.sys
[2011.12.05 15:50:00 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.12.03 13:02:01 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2011.12.02 20:04:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Netzmanager
[2011.12.02 20:04:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager
[2011.12.02 20:04:30 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D8116CA6-DBDF-4415-AB4A-BE0CEFB71935}
[2011.12.02 16:52:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.12.02 16:45:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\12599a67
[2011.12.02 16:42:26 | 000,000,000 | ---D | C] -- C:\Programme\2C2B7
[2011.12.02 16:42:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\C412C
[2011.12.02 16:42:15 | 000,000,000 | ---D | C] -- C:\Programme\LP
[2011.11.21 22:17:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Glaums\Eigene Dateien\StarCraft II
[2011.11.21 22:17:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
[2011.11.21 13:06:23 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
[2011.11.02 14:19:53 | 016,215,808 | ---- | C] (Dropbox, Inc.) -- C:\Programme\Dropbox 1.1.45.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

File not found -- C:\WINDOWS\System32\
[2011.12.07 22:22:23 | 000,041,680 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\xbrfxnbn.sys
[2011.12.07 22:19:49 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.12.07 22:19:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.07 22:16:09 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\defogger_reenable
[2011.12.07 19:33:58 | 000,000,569 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\.dsa4.properties
[2011.12.06 16:06:12 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.12.04 14:58:43 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2011.12.02 20:36:22 | 000,000,764 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk
[2011.12.02 20:06:15 | 000,000,724 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Netzmanager.lnk
[2011.12.02 02:00:01 | 000,000,348 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-SCOON-Glaums.job
[2011.12.02 02:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-SCOON-Admin.job
[2011.12.01 17:12:42 | 000,015,838 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\.heldEinstellungen4_1.xml
[2011.11.12 16:53:44 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.11.09 09:11:14 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.12.07 22:15:47 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Glaums\defogger_reenable
[2011.12.02 20:06:15 | 000,000,724 | ---- | C] () -- C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Netzmanager.lnk
[2011.12.02 20:05:04 | 000,000,764 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk
[2011.12.01 17:37:36 | 001,304,512 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011.11.09 09:11:12 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2011.09.16 19:34:50 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2011.09.16 19:30:39 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\atiiprxx.exe
[2011.09.16 19:30:31 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativvaxx.dat
[2011.09.16 19:30:31 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2011.09.16 19:30:31 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2011.09.16 19:30:31 | 000,158,080 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2011.09.16 19:30:30 | 000,000,011 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.ini
[2011.09.16 19:30:03 | 000,472,576 | ---- | C] () -- C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
[2011.08.29 01:20:59 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV65.sys
[2011.07.05 19:23:14 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.07.04 12:16:47 | 000,015,312 | R--- | C] () -- C:\WINDOWS\System32\RaCoInst.dat
[2011.06.23 11:55:19 | 000,006,656 | ---- | C] () -- C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.05.13 16:59:22 | 001,940,212 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1844237615-1770027372-515967899-1004-0.dat
[2011.05.13 16:59:21 | 000,287,018 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011.04.26 17:24:13 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2011.04.26 17:23:12 | 000,007,103 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2011.04.26 00:13:15 | 000,100,352 | ---- | C] () -- C:\WINDOWS\System32\zlib1.dll
[2011.04.26 00:13:11 | 000,162,304 | ---- | C] () -- C:\WINDOWS\System32\libpng13.dll
[2011.04.26 00:13:10 | 000,394,752 | ---- | C] () -- C:\WINDOWS\System32\cygwinb19.dll
[2011.04.26 00:13:08 | 001,202,763 | ---- | C] () -- C:\WINDOWS\unins002.exe
[2011.04.26 00:13:08 | 000,012,752 | ---- | C] () -- C:\WINDOWS\unins002.dat
[2011.04.26 00:10:24 | 000,709,719 | ---- | C] () -- C:\WINDOWS\unins001.exe
[2011.04.26 00:10:24 | 000,007,963 | ---- | C] () -- C:\WINDOWS\unins001.dat
[2011.04.26 00:09:48 | 001,199,175 | ---- | C] () -- C:\WINDOWS\unins000.exe
[2011.04.26 00:09:48 | 000,012,043 | ---- | C] () -- C:\WINDOWS\unins000.dat
[2011.04.25 21:42:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.04.25 21:38:42 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2011.04.25 21:38:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2011.04.25 21:38:16 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\brlmw03a.ini
[2011.04.25 21:38:15 | 000,009,868 | ---- | C] () -- C:\WINDOWS\HL-2140.INI
[2011.04.25 21:37:28 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2011.04.25 21:37:28 | 000,000,034 | ---- | C] () -- C:\WINDOWS\System32\BD2140.DAT
[2011.04.25 21:36:15 | 000,000,270 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2011.04.25 08:39:38 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.04.25 08:33:00 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011.04.25 02:09:02 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.04.25 02:05:36 | 003,551,008 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.02.11 22:23:34 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2008.04.14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008.04.14 08:00:00 | 000,526,192 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008.04.14 08:00:00 | 000,501,382 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008.04.14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008.04.14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008.04.14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008.04.14 08:00:00 | 000,104,880 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008.04.14 08:00:00 | 000,087,288 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008.04.14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008.04.14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008.04.14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008.04.14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008.04.14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008.04.14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005.04.15 12:52:33 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2005.04.15 12:52:33 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

========== Custom Scans ==========

< %SYSTEMDRIVE%\*. >
[2011.09.07 09:41:25 | 000,000,000 | ---D | M] -- C:\$NtUninstallXPSEP$
[2011.04.25 08:37:01 | 000,000,000 | ---D | M] -- C:\DELL
[2011.12.03 13:03:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011.12.05 15:50:00 | 000,000,000 | ---D | M] -- C:\Programme
[2011.04.27 22:10:04 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.12.07 22:32:09 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.06.10 15:05:32 | 000,000,000 | ---D | M] -- C:\temp
[2011.12.03 13:02:01 | 000,000,000 | ---D | M] -- C:\WINDOWS

< %PROGRAMFILES%\*.exe >
[2011.11.02 11:18:02 | 016,215,808 | ---- | M] (Dropbox, Inc.) -- C:\Programme\Dropbox 1.1.45.exe

Invalid Environment Variable: LOCALAPPDATA

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.manifest /3 >
[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< MD5 for: AFD.SYS >
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\dllcache\afd.sys
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=2FF2423EB269D233BDEA542E7853AD74 -- C:\WINDOWS\system32\drivers\afd.sys
[2008.04.14 08:00:00 | 000,138,112 | ---- | M] (Microsoft Corporation) MD5=322D0E36693D6E24A2398BEE62A268CD -- C:\WINDOWS\$NtUninstallKB2509553$\afd.sys
[2011.02.16 14:22:48 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=355556D9E580915118CD7EF736653A89 -- C:\WINDOWS\$NtUninstallKB2592799$\afd.sys
[2008.10.16 16:07:58 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=38D7B715504DA4741DF35E3594FE2099 -- C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys
[2008.10.16 15:43:01 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7618D5218F2A614672EC61A80D854A37 -- C:\WINDOWS\$NtUninstallKB2503665$\afd.sys
[2011.02.16 14:25:05 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=8D499B1276012EB907E7A9E0F4D8FDA4 -- C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys
[2011.08.17 14:41:46 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=F6B7B1ECD7B41736BDB6FF4B092BCB79 -- C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys

< MD5 for: EXPLORER.EXE >
[2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe

< MD5 for: IPSEC.SYS >
[2008.04.14 08:00:00 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\dllcache\ipsec.sys
[2008.04.14 08:00:00 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\drivers\ipsec.sys

< MD5 for: REGEDIT.EXE >
[2008.04.14 08:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 08:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe

< MD5 for: USERINIT.EXE >
[2008.04.14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe

< MD5 for: WINLOGON.EXE >
[2008.04.14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2011.09.06 15:10:01 | 001,859,072 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-11-11 11:30:50

========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\WINDOWS\$NtUninstallKB30657$] -> Error: Cannot create file handle -> Unknown point type

========== Alternate Data Streams ==========

@Alternate Data Stream - 392 bytes -> C:\WINDOWS\System32\drivers\xbrfxnbn.sys:changelist
@Alternate Data Stream - 101 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BDCD0530

< End of report >

Sirefef.P und Bundestrojaner

Plagegeister aller Art und deren Bekämpfung: Sirefef.P und Bundestrojaner

Sirefef.P und Bundestrojaner

Ähnliche Themen: Sirefef.P und Bundestrojaner