Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Rootkit.Gen8 plötzlich erschienen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.04.2012, 22:44   #1
tracker
 
TR/Rootkit.Gen8 plötzlich erschienen - Standard

TR/Rootkit.Gen8 plötzlich erschienen



Hallo,
mein Avira ANtivir meldet seit heute den Fund: TR/Rootkit.Gen8 // C:\Windows\System32\ntqunry6.sys

Ich habe mich selbstverständlich im Internet schlau gemacht was dieser Trojaner genau bedeutet und bin da nicht sonderlich erfreut, weil in vielen Foren wurde meistens ein neuauflegen des Systems empfohlen. Das möchte ich aber wenn es möglich ist vermeiden und wende mich daher aus Empfehlung von diversen Foren hier an dieses Forum.

Ich würde mich freuen wenn ihr mir helfen könntet.

Übrigens hier ist mein ANtivir Scan:

Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 20. April 2012 21:51

Es wird nach 3663566 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MS-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 18:41:39
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 18:41:38
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 18:41:40
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 18:41:42
AVREG.DLL : 12.1.0.36 229128 Bytes 05.04.2012 16:08:55
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:53:47
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:44:03
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:08:52
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 16:08:54
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 16:08:56
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 16:08:56
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 16:08:56
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 16:08:56
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 16:08:57
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 16:08:57
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 16:08:57
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 16:08:57
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 16:09:25
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 16:08:34
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 16:10:27
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 19:47:33
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 19:47:42
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 19:47:44
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 13:35:29
VBASE021.VDF : 7.11.28.3 237568 Bytes 19.04.2012 13:36:20
VBASE022.VDF : 7.11.28.4 2048 Bytes 19.04.2012 13:36:20
VBASE023.VDF : 7.11.28.5 2048 Bytes 19.04.2012 13:36:20
VBASE024.VDF : 7.11.28.6 2048 Bytes 19.04.2012 13:36:20
VBASE025.VDF : 7.11.28.7 2048 Bytes 19.04.2012 13:36:20
VBASE026.VDF : 7.11.28.8 2048 Bytes 19.04.2012 13:36:20
VBASE027.VDF : 7.11.28.9 2048 Bytes 19.04.2012 13:36:20
VBASE028.VDF : 7.11.28.10 2048 Bytes 19.04.2012 13:36:21
VBASE029.VDF : 7.11.28.11 2048 Bytes 19.04.2012 13:36:22
VBASE030.VDF : 7.11.28.12 2048 Bytes 19.04.2012 13:36:22
VBASE031.VDF : 7.11.28.44 124928 Bytes 20.04.2012 13:36:09
Engineversion : 8.2.10.52
AEVDF.DLL : 8.1.2.2 106868 Bytes 03.12.2011 19:31:57
AESCRIPT.DLL : 8.1.4.17 446842 Bytes 20.04.2012 13:37:16
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 14:40:48
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 14:58:41
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.9 807287 Bytes 30.03.2012 16:09:33
AEOFFICE.DLL : 8.1.2.27 201082 Bytes 04.04.2012 16:13:20
AEHEUR.DLL : 8.1.4.19 4673910 Bytes 20.04.2012 13:37:11
AEHELP.DLL : 8.1.19.1 254327 Bytes 02.04.2012 16:08:41
AEGEN.DLL : 8.1.5.27 422261 Bytes 20.04.2012 13:36:17
AEEXP.DLL : 8.1.0.29 82293 Bytes 12.04.2012 19:48:02
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 14:56:39
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 18:41:38
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20120420-214515-3EC9978F.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 20. April 2012 21:51

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '146' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'AWSC.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AWSC.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvtray.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvxdsync.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Windows\System32\ntqunry6.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen8

Die Registry wurde durchsucht ( '506' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\6fd48510-55852e0d
[0] Archivtyp: ZIP
--> ya/ya.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.DT
--> ya/yc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.CS.1
--> ya/yb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.FA
--> ya/M.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.EZ
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\60cf46d2-48944c00
[0] Archivtyp: ZIP
--> ta/tb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.CZ.3
--> ta/ta.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
--> ta/tc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\6c80859b-1eba44cb
[0] Archivtyp: ZIP
--> a/a.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.Q
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\32467388-4d12d0f5
[0] Archivtyp: ZIP
--> ta/tb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.CZ.3
--> ta/ta.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
--> ta/tc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507

Beginne mit der Desinfektion:
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\32467388-4d12d0f5
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6868a7.qua' verschoben!
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\6c80859b-1eba44cb
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.Q
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52f34731.qua' verschoben!
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\60cf46d2-48944c00
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '00911dee.qua' verschoben!
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\6fd48510-55852e0d
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.EZ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '66a751e6.qua' verschoben!
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqunry6> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTQUNRY6> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntqunry6> wurde erfolgreich entfernt.
C:\Windows\System32\ntqunry6.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen8
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqunry6\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntqunry6\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntqunry6\ImagePath> wurde erfolgreich repariert.


Ende des Suchlaufs: Freitag, 20. April 2012 22:40
Benötigte Zeit: 48:04 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

22411 Verzeichnisse wurden überprüft
475521 Dateien wurden geprüft
12 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
475509 Dateien ohne Befall
3625 Archive wurden durchsucht
0 Warnungen
6 Hinweise
358926 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Alt 21.04.2012, 06:12   #2
kira
/// Helfer-Team
 
TR/Rootkit.Gen8 plötzlich erschienen - Standard

TR/Rootkit.Gen8 plötzlich erschienen



Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen
Was ist ein Rootkit?-> Rootkit
Da eine hundertprozentige Erkennung von Rootkits meist unmöglich ist, ist die beste Methode wäre zur Entfernung die komplette Neuinstallation.
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Falls Du dein System doch reinigen möchtest:

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
  • Poste die Logfiles in Code-Tags hier in den Thread.

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:
  • Download den CCleaner - Installer herunter
  • Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
  • starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
  • ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
kira
__________________

__________________

Alt 21.04.2012, 10:40   #3
tracker
 
TR/Rootkit.Gen8 plötzlich erschienen - Standard

TR/Rootkit.Gen8 plötzlich erschienen



Hallo kira,

vielen Dank erstmal für die schnelle und Informative-Auskunft.

Was mir aufgefallen ist das mir kein Trojaner mehr angezeigt wird.

Ich habe wie sie es mir geschildert haben die folgenden Scans durchgeführt.

Malwarebytes Anti-Malware

Code:
ATTFilter
 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.21.01

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
MS :: MS-PC [Administrator]

21.04.2012 08:41:52
mbam-log-2012-04-21 (08-41-52).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 322284
Laufzeit: 1 Stunde(n), 32 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 15
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: ;áÃzÊ;XA³0öm»Áµ -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: VShareTB -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten:  -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten:  -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
OTL.txt

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 21.04.2012 10:20:22 - Run 2
OTL by OldTimer - Version 3.2.40.0     Folder = C:\Users\MS\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 50,10% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 74,99% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,79 Gb Total Space | 172,13 Gb Free Space | 73,94% Space Free | Partition Type: NTFS
Drive D: | 7,01 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: MS-PC | User Name: MS | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\MS\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\PDF24\pdf24.exe (Geek Software GmbH)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft Limited)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft Limited)
PRC - C:\Programme\Lavasoft\Ad-Aware\AWSC.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation)
PRC - C:\Programme\NVIDIA Corporation\Display\nvtray.exe (NVIDIA Corporation)
PRC - C:\Programme\NVIDIA Corporation\Display\nvxdsync.exe (NVIDIA Corporation)
PRC - C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Windows\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe (Check Point Software Technologies)
PRC - C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Users\MS\AppData\Local\Temp\CmdLineExt02.dll ()
MOD - C:\Programme\WinRAR\RarExt.dll ()
MOD - C:\Programme\NVIDIA Corporation\3D Vision\Nv3DVStreaming.dll ()
MOD - C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll ()
MOD - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (LanmanWorkstation) -- C:\Windows\System32\aptwx2p08.dll (Works Ltd.)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (Steam Client Service) -- C:\Program Files\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (Update-Service) -- C:\Windows\System32\UpdSvc.dll (Joosoft.com GmbH)
SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft Limited)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (nvUpdatusService) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation)
SRV - (Stereo Service) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (vsmon) -- C:\Windows\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
SRV - (IswSvc) -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe (Check Point Software Technologies)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (hidnpbgz) -- C:\Windows\system32\drivers\hidnpbgz.sys File not found
DRV - (EagleNT) -- C:\Windows\system32\drivers\EagleNT.sys File not found
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (nvsmu) -- C:\Windows\System32\drivers\nvsmu.sys (NVIDIA Corporation)
DRV - (Lbd) -- C:\Windows\System32\drivers\Lbd.sys (Lavasoft AB)
DRV - (Lavasoft Kernexplorer) -- C:\Programme\Lavasoft\Ad-Aware\kernexplorer.sys ()
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira GmbH)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (TsUsbFlt) -- C:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (NVNET) -- C:\Windows\System32\drivers\nvmf6232.sys (NVIDIA Corporation)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (ISWKL) -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys (Check Point Software Technologies)
DRV - (Vsdatant) -- C:\Windows\System32\drivers\vsdatant.sys (Check Point Software Technologies LTD)
DRV - (arusb_win7) -- C:\Windows\System32\drivers\arusb_win7.sys (Atheros Communications, Inc.)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvm62x32.sys (NVIDIA Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found
IE - HKLM\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2613550
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 60 76 7C 54 BD 1C CD 01  [binary data]
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2613550
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "ZoneAlarm-Sicherheit Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..network.proxy.type: 0
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_233.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.0: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\TrustChecker [2012.03.10 07:35:50 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012.02.12 11:03:55 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.03.17 21:45:12 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.04.12 12:53:41 | 000,000,000 | ---D | M]
 
[2011.12.03 21:22:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\MS\AppData\Roaming\mozilla\Extensions
[2012.04.20 23:12:17 | 000,000,000 | ---D | M] (No name found) -- C:\Users\MS\AppData\Roaming\mozilla\Firefox\Profiles\imls6mkq.default\extensions
[2012.01.31 23:10:42 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\MS\AppData\Roaming\mozilla\Firefox\Profiles\imls6mkq.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012.04.13 15:12:15 | 000,000,000 | ---D | M] (Ant Video Downloader) -- C:\Users\MS\AppData\Roaming\mozilla\Firefox\Profiles\imls6mkq.default\extensions\anttoolbar@ant.com
[2011.11.27 15:16:02 | 000,000,943 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\conduit.xml
[2011.12.05 08:06:43 | 000,002,342 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icq-search.xml
[2012.02.02 07:52:43 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-1.xml
[2012.02.11 22:03:04 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-2.xml
[2012.02.17 21:48:19 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-3.xml
[2012.03.17 21:45:42 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-4.xml
[2012.03.19 20:09:28 | 000,000,168 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin.gif
[2012.03.19 20:09:28 | 000,000,618 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin.src
[2011.12.30 11:01:46 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin.xml
[2012.03.17 21:45:19 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\USERS\MS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IMLS6MKQ.DEFAULT\EXTENSIONS\DIVXWEBPLAYER@DIVX.COM.XPI
[2012.03.17 21:45:11 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.03.06 19:08:22 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2011.10.03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2011.12.30 11:01:40 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.12.30 11:01:40 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011.12.30 11:01:40 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011.12.30 11:01:40 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.12.30 11:01:40 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.12.30 11:01:40 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files\ZoneAlarm-Sicherheit\prxtbZone.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm-Sicherheit Toolbar) - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - C:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll (Conduit Ltd.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [ISW] C:\Program Files\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\MS\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9 - Extra Button: ICQ7.7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Programme\ICQ7.7\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Programme\ICQ7.7\ICQ.exe (ICQ, LLC.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{EFD471B6-D26D-4325-96D3-45267644A378}: NameServer = 192.168.1.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.12.18 00:43:04 | 000,000,000 | R--D | M] - D:\autorun -- [ UDF ]
O32 - AutoRun File - [2005.12.15 03:25:08 | 000,778,240 | R--- | M] (Electronic Arts) - D:\Autorun.exe -- [ UDF ]
O32 - AutoRun File - [2005.11.18 23:44:26 | 000,000,049 | R--- | M] () - D:\autorun.inf -- [ UDF ]
O33 - MountPoints2\{c2630087-1dd1-11e1-b31d-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{c2630087-1dd1-11e1-b31d-806e6f6e6963}\Shell\AutoRun\command - "" = D:\Autorun.exe -- [2005.12.15 03:25:08 | 000,778,240 | R--- | M] (Electronic Arts)
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (lsdelete)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.04.21 08:43:34 | 003,645,656 | ---- | C] (Piriform Ltd) -- C:\Users\MS\Desktop\ccsetup317b1689.exe
[2012.04.21 08:38:40 | 000,000,000 | ---D | C] -- C:\Users\MS\AppData\Roaming\Malwarebytes
[2012.04.21 08:38:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.04.21 08:38:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.04.21 08:38:33 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.04.21 08:38:33 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.04.21 08:37:45 | 010,063,000 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\MS\Desktop\mbam-setup-1.61.0.1400.exe
[2012.04.21 08:29:18 | 000,208,896 | ---- | C] (Works Ltd.) -- C:\Windows\System32\aptwx2p08.dll
[2012.04.20 22:19:27 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012.04.20 22:18:08 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Users\MS\Desktop\OTL.exe
[2012.04.20 13:05:22 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft.NET
[2012.04.20 13:00:30 | 050,449,456 | ---- | C] (Microsoft Corporation) -- C:\Users\MS\Desktop\dotNetFx40_Full_x86_x64.exe
[2012.04.17 16:18:11 | 000,000,000 | ---D | C] -- C:\Users\MS\Documents\Command and Conquer Generals Data
[2012.04.16 19:16:55 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games
[2012.04.16 19:03:01 | 000,000,000 | ---D | C] -- C:\Program Files\EA Games
[2012.04.15 15:01:40 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Drivers HeadQuarters
[2012.04.15 14:58:47 | 001,038,912 | ---- | C] (PC Drivers HeadQuarters                                      ) -- C:\Users\MS\Desktop\DriverInstaller.exe
[2012.04.15 14:56:43 | 000,000,000 | ---D | C] -- C:\Users\MS\AppData\Local\ElevatedDiagnostics
[2012.04.14 10:27:07 | 000,704,512 | ---- | C] (Discrete Cosine LLC) -- C:\Windows\System32\jpg23cn2.dll
[2012.04.01 22:13:07 | 000,418,464 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.03.27 15:59:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012.03.27 15:59:55 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2012.03.23 13:01:49 | 000,000,000 | ---D | C] -- C:\Program Files\Trend Micro
[2012.03.23 13:01:49 | 000,000,000 | ---D | C] -- C:\Users\MS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HiJackThis
 
========== Files - Modified Within 30 Days ==========
 
[2012.04.21 10:17:50 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.04.21 10:17:44 | 1610,014,720 | -HS- | M] () -- C:\hiberfil.sys
[2012.04.21 09:38:14 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.04.21 08:43:44 | 003,645,656 | ---- | M] (Piriform Ltd) -- C:\Users\MS\Desktop\ccsetup317b1689.exe
[2012.04.21 08:38:35 | 000,001,071 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.04.21 08:37:58 | 010,063,000 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\MS\Desktop\mbam-setup-1.61.0.1400.exe
[2012.04.21 08:36:38 | 000,014,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.04.21 08:36:38 | 000,014,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.04.21 08:29:18 | 000,208,896 | ---- | M] (Works Ltd.) -- C:\Windows\System32\aptwx2p08.dll
[2012.04.20 22:18:31 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Users\MS\Desktop\OTL.exe
[2012.04.20 21:40:39 | 000,000,064 | ---- | M] () -- C:\Windows\System32\rp_stats.dat
[2012.04.20 21:40:38 | 000,000,044 | ---- | M] () -- C:\Windows\System32\rp_rules.dat
[2012.04.20 13:09:09 | 000,696,132 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.04.20 13:09:09 | 000,651,450 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.04.20 13:09:09 | 000,147,428 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.04.20 13:09:09 | 000,120,382 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.04.20 13:02:16 | 050,449,456 | ---- | M] (Microsoft Corporation) -- C:\Users\MS\Desktop\dotNetFx40_Full_x86_x64.exe
[2012.04.18 16:17:26 | 001,410,287 | ---- | M] () -- C:\Users\MS\Desktop\2.jpg
[2012.04.18 16:16:12 | 000,987,799 | ---- | M] () -- C:\Users\MS\Desktop\1.jpg
[2012.04.17 06:51:25 | 000,294,136 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.04.16 19:16:56 | 000,001,214 | ---- | M] () -- C:\Users\Public\Desktop\Command & Conquer Die ersten 10 Jahre.lnk
[2012.04.15 21:46:20 | 001,331,286 | ---- | M] () -- C:\Users\MS\Desktop\PPP - Balance3d Score Card.odp
[2012.04.15 15:06:19 | 007,844,864 | ---- | M] () -- C:\Users\MS\Desktop\setup45dt.msi
[2012.04.15 14:58:50 | 001,038,912 | ---- | M] (PC Drivers HeadQuarters                                      ) -- C:\Users\MS\Desktop\DriverInstaller.exe
[2012.04.14 12:38:14 | 000,418,464 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.04.14 12:38:14 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012.04.14 10:27:07 | 000,704,512 | ---- | M] (Discrete Cosine LLC) -- C:\Windows\System32\jpg23cn2.dll
[2012.04.11 15:09:50 | 000,056,157 | ---- | M] () -- C:\Users\MS\Desktop\Wie-alt1.odp
[2012.04.09 21:56:18 | 000,140,554 | ---- | M] () -- C:\Users\MS\Desktop\Unbenannt 1.odp
[2012.04.08 15:29:46 | 000,006,598 | ---- | M] () -- C:\Users\MS\Desktop\OpenDocument Tabellendokument (neu).ods
[2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.04.02 12:19:18 | 000,018,572 | ---- | M] () -- C:\Users\MS\Desktop\Lb10.odt
[2012.03.27 15:59:56 | 000,002,505 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2012.03.26 20:17:39 | 001,274,531 | ---- | M] () -- C:\Users\MS\Desktop\123.jpg
[2012.03.23 13:01:49 | 000,002,949 | ---- | M] () -- C:\Users\MS\Desktop\HiJackThis.lnk
[2012.03.22 21:49:56 | 001,000,678 | ---- | M] () -- C:\Users\MS\Desktop\12.jpg
[2012.03.22 21:48:42 | 001,894,079 | ---- | M] () -- C:\Users\MS\Desktop\11.jpg
 
========== Files Created - No Company Name ==========
 
[2012.04.21 08:38:35 | 000,001,071 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.04.18 16:17:26 | 001,410,287 | ---- | C] () -- C:\Users\MS\Desktop\2.jpg
[2012.04.18 16:16:12 | 000,987,799 | ---- | C] () -- C:\Users\MS\Desktop\1.jpg
[2012.04.16 19:16:56 | 000,001,214 | ---- | C] () -- C:\Users\Public\Desktop\Command & Conquer Die ersten 10 Jahre.lnk
[2012.04.15 21:46:18 | 001,331,286 | ---- | C] () -- C:\Users\MS\Desktop\PPP - Balance3d Score Card.odp
[2012.04.15 15:06:05 | 007,844,864 | ---- | C] () -- C:\Users\MS\Desktop\setup45dt.msi
[2012.04.11 22:02:57 | 000,140,554 | ---- | C] () -- C:\Users\MS\Desktop\Unbenannt 1.odp
[2012.04.11 14:42:07 | 000,056,157 | ---- | C] () -- C:\Users\MS\Desktop\Wie-alt1.odp
[2012.04.08 15:29:45 | 000,006,598 | ---- | C] () -- C:\Users\MS\Desktop\OpenDocument Tabellendokument (neu).ods
[2012.04.01 22:13:08 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.03.27 16:02:03 | 000,018,572 | ---- | C] () -- C:\Users\MS\Desktop\Lb10.odt
[2012.03.27 15:59:56 | 000,002,505 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk
[2012.03.26 20:18:44 | 001,274,531 | ---- | C] () -- C:\Users\MS\Desktop\123.jpg
[2012.03.23 13:01:49 | 000,002,949 | ---- | C] () -- C:\Users\MS\Desktop\HiJackThis.lnk
[2012.03.22 21:53:44 | 001,000,678 | ---- | C] () -- C:\Users\MS\Desktop\12.jpg
[2012.03.22 21:53:18 | 001,894,079 | ---- | C] () -- C:\Users\MS\Desktop\11.jpg
[2012.03.01 01:56:36 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2012.01.20 17:58:33 | 000,081,804 | ---- | C] () -- C:\Windows\War3Unin.dat
[2011.12.10 10:33:55 | 000,000,064 | ---- | C] () -- C:\Windows\System32\rp_stats.dat
[2011.12.10 10:33:55 | 000,000,044 | ---- | C] () -- C:\Windows\System32\rp_rules.dat
[2011.12.04 12:39:57 | 000,011,164 | ---- | C] () -- C:\Windows\System32\drivers\nvphy.bin
[2011.12.03 22:08:34 | 000,016,432 | ---- | C] () -- C:\Windows\System32\lsdelete.exe
[2011.10.15 01:54:52 | 000,321,856 | ---- | C] () -- C:\Windows\System32\nvStreaming.exe

< End of report >
         
--- --- ---
[/code]


OTL Extras

OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 21.04.2012 10:20:22 - Run 2
OTL by OldTimer - Version 3.2.40.0     Folder = C:\Users\MS\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 50,10% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 74,99% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,79 Gb Total Space | 172,13 Gb Free Space | 73,94% Space Free | Partition Type: NTFS
Drive D: | 7,01 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: MS-PC | User Name: MS | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{071B843C-9A39-40B3-BB01-BBD6A8D2E1C5}" = lingDIALOG
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0AC16091-C09E-462B-9AF7-A8605F4BF7CC}" = Langenscheidt Vokabeltrainer 6.0 Englisch
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{518F8DB2-65BA-40F7-B843-1F11F8F1B124}" = Vokabeltrainer-Update 6.0.16
"{66D6F3BD-CA23-41A4-9FA3-96B26B32528D}" = Command & Conquer Die ersten 10 Jahre
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{77F665FD-3F60-4B0A-AE14-EC124B7A7FCE}" = ICQ7.7
"{7F6D7FD9-648D-4DD9-BB6E-3990C675ECA4}" = NVIDIA PhysX
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 4.4.0
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 285.62
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 285.62
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 285.62
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB" = NVIDIA 3D Vision Controller-Treiber 285.62
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.11.0621
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.5.20
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{E43196CF-182A-4D9E-9CE7-69616DBEE3B0}" = Ad-Aware
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"DivX Setup" = DivX-Setup
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.15.1228
"FUSSBALL MANAGER 12" = FUSSBALL MANAGER 12
"Grammatiktrainer 6.0 Englisch" = Langenscheidt Grammatiktrainer 6.0 Englisch
"InstallShield_{071B843C-9A39-40B3-BB01-BBD6A8D2E1C5}" = lingDIALOG
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Metin2_is1" = Metin2
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Mozilla Firefox 11.0 (x86 de)" = Mozilla Firefox 11.0 (x86 de)
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Steam App 240" = Counter-Strike: Source
"VLC media player" = VLC media player 2.0.0
"vShare.tv plugin" = vShare.tv plugin 1.3
"Warcraft III" = Warcraft III
"Warkeys" = Warkeys 1.20.0.0b
"WinRAR archiver" = WinRAR 4.10 (32-Bit)
"xp-AntiSpy" = xp-AntiSpy 3.98
"ZoneAlarm" = ZoneAlarm
"ZoneAlarm Toolbar" = ZoneAlarm Toolbar
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"Warcraft III" = Warcraft III: All Products
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 17.03.2012 12:36:03 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: LolClient.exe, Version: 2.0.2.12610,
 Zeitstempel: 0x4c00573a  Name des fehlerhaften Moduls: Adobe AIR.dll, Version: 2.5.0.16600,
 Zeitstempel: 0x4ca30e16  Ausnahmecode: 0xc0000005  Fehleroffset: 0x000121da  ID des fehlerhaften
 Prozesses: 0x12ec  Startzeit der fehlerhaften Anwendung: 0x01cd045a95c71b50  Pfad der
 fehlerhaften Anwendung: C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.132\deploy\LolClient.exe
Pfad
 des fehlerhaften Moduls: C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.132\deploy\Adobe
 AIR\Versions\1.0\Adobe AIR.dll  Berichtskennung: 48f62620-704f-11e1-b218-b245e6e593e4
 
Error - 20.03.2012 10:55:44 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: LolClient.exe, Version: 2.0.2.12610,
 Zeitstempel: 0x4c00573a  Name des fehlerhaften Moduls: Adobe AIR.dll, Version: 2.5.0.16600,
 Zeitstempel: 0x4ca30e16  Ausnahmecode: 0xc0000005  Fehleroffset: 0x000121da  ID des fehlerhaften
 Prozesses: 0x480  Startzeit der fehlerhaften Anwendung: 0x01cd069bcf442e70  Pfad der
 fehlerhaften Anwendung: C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.132\deploy\LolClient.exe
Pfad
 des fehlerhaften Moduls: C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.132\deploy\Adobe
 AIR\Versions\1.0\Adobe AIR.dll  Berichtskennung: c49b99f0-729c-11e1-b208-b1c5cfbe71e5
 
Error - 20.03.2012 16:08:17 | Computer Name = MS-PC | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 22.03.2012 13:51:39 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: ICQ.exe, Version: 7.7.0.6547, Zeitstempel:
 0x4f0bf762  Name des fehlerhaften Moduls: Flash11e.ocx, Version: 11.1.102.55, Zeitstempel:
 0x4eaf89fc  Ausnahmecode: 0xc0000005  Fehleroffset: 0x001b6d6c  ID des fehlerhaften Prozesses:
 0x330  Startzeit der fehlerhaften Anwendung: 0x01cd085003126720  Pfad der fehlerhaften
 Anwendung: C:\Program Files\ICQ7.7\ICQ.exe  Pfad des fehlerhaften Moduls: C:\Windows\system32\Macromed\Flash\Flash11e.ocx
Berichtskennung:
 acc2dfd0-7447-11e1-b205-f3b9037ef5e7
 
Error - 31.03.2012 14:50:50 | Computer Name = MS-PC | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 11.04.2012 07:50:39 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: LolClient.exe, Version: 2.0.2.12610,
 Zeitstempel: 0x4c00573a  Name des fehlerhaften Moduls: Adobe AIR.dll, Version: 2.5.0.16600,
 Zeitstempel: 0x4ca30e16  Ausnahmecode: 0xc0000005  Fehleroffset: 0x000121da  ID des fehlerhaften
 Prozesses: 0x10e0  Startzeit der fehlerhaften Anwendung: 0x01cd17cc9abcfb40  Pfad der
 fehlerhaften Anwendung: C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.134\deploy\LolClient.exe
Pfad
 des fehlerhaften Moduls: C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.134\deploy\Adobe
 AIR\Versions\1.0\Adobe AIR.dll  Berichtskennung: 8e70e560-83cc-11e1-acfa-a858d6a49ae4
 
Error - 14.04.2012 04:47:27 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: metin2client.bin, Version: 1.0.28249.0,
 Zeitstempel: 0x4f6b109c  Name des fehlerhaften Moduls: metin2client.bin, Version:
 1.0.28249.0, Zeitstempel: 0x4f6b109c  Ausnahmecode: 0xc0000417  Fehleroffset: 0x001c4ebb
ID
 des fehlerhaften Prozesses: 0xe70  Startzeit der fehlerhaften Anwendung: 0x01cd1a19c87c14e0
Pfad
 der fehlerhaften Anwendung: C:\Program Files\Metin2\metin2client.bin  Pfad des fehlerhaften
 Moduls: C:\Program Files\Metin2\metin2client.bin  Berichtskennung: 75fe3e30-860e-11e1-b20d-f4bb44667190
 
Error - 15.04.2012 09:07:34 | Computer Name = MS-PC | Source = MsiInstaller | ID = 1018
Description = 
 
Error - 17.04.2012 14:44:56 | Computer Name = MS-PC | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 20.04.2012 08:13:54 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Skype.exe, Version: 5.8.0.158, Zeitstempel:
 0x4f4de709  Name des fehlerhaften Moduls: Skype.exe, Version: 5.8.0.158, Zeitstempel:
 0x4f4de709  Ausnahmecode: 0xc0000005  Fehleroffset: 0x006a2b11  ID des fehlerhaften Prozesses:
 0xd44  Startzeit der fehlerhaften Anwendung: 0x01cd1edb30cc9770  Pfad der fehlerhaften
 Anwendung: C:\Program Files\Skype\Phone\Skype.exe  Pfad des fehlerhaften Moduls: 
C:\Program Files\Skype\Phone\Skype.exe  Berichtskennung: 4bb5dfb0-8ae2-11e1-b272-ff43d51f53e6
 
[ System Events ]
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Arbeitsstationsdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1062
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Arbeitsstationsdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1062
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Arbeitsstationsdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%2
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Arbeitsstationsdienst" wurde mit folgendem Fehler beendet:
   %%2
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Arbeitsstationsdienst" wurde mit folgendem Fehler beendet:
   %%2
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Arbeitsstationsdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%2
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Arbeitsstationsdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1062
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Arbeitsstationsdienst" wurde mit folgendem Fehler beendet:
   %%2
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Arbeitsstationsdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%2
 
Error - 21.04.2012 02:28:59 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Arbeitsstationsdienst" wurde mit folgendem Fehler beendet:
   %%2
 
 
< End of report >
         
--- --- ---
[/code]



CCleaner

Code:
ATTFilter
 Ad-Aware	Lavasoft Limited	02.12.2011	34,1MB	9.6.0
Adobe Flash Player 11 ActiveX	Adobe Systems Incorporated	13.04.2012	6,00MB	11.2.202.233
Adobe Flash Player 11 Plugin	Adobe Systems Incorporated	13.04.2012	6,00MB	11.2.202.233
Adobe Reader X (10.1.3) - Deutsch	Adobe Systems Incorporated	11.04.2012	121,1MB	10.1.3
Avira Free Antivirus	Avira	14.02.2012	105,5MB	12.0.0.898
CCleaner	Piriform	20.04.2012		3.17
Command & Conquer Die ersten 10 Jahre	Electronic Arts	15.04.2012		1.00.0000
Counter-Strike: Source	Valve	04.02.2012		
DivX-Setup	DivX, LLC	11.02.2012		2.6.1.5
Free YouTube to MP3 Converter version 3.10.15.1228	DVDVideoSoft Ltd.	30.01.2012	85,6MB	
FUSSBALL MANAGER 12	Electronic Arts	16.12.2011	6.721MB	1.0.0.3
HiJackThis	Trend Micro	22.03.2012	0,36MB	1.0.0
ICQ7.7	ICQ	02.12.2011		7.7
Java(TM) 6 Update 31	Oracle	05.03.2012	95,1MB	6.0.310
Langenscheidt Grammatiktrainer 6.0 Englisch	Langenscheidt	20.03.2012		01.00.00.00
Langenscheidt Vokabeltrainer 6.0 Englisch	Langenscheidt	20.03.2012	2.003MB	6.0.9
lingDIALOG	WEVOSYS	20.03.2012	33,4MB	3.0908
Malwarebytes Anti-Malware Version 1.61.0.1400	Malwarebytes Corporation	20.04.2012	18,0MB	1.61.0.1400
Metin2	Gameforge 4D GmbH	20.02.2012	875MB	
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	19.04.2012	38,8MB	4.0.30319
Microsoft .NET Framework 4 Extended	Microsoft Corporation	19.04.2012	52,0MB	4.0.30319
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022	Microsoft Corporation	20.03.2012	0,61MB	9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	12.02.2012	0,23MB	9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	02.12.2011	0,58MB	9.0.30729.4148
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219	Microsoft Corporation	02.12.2011	11,1MB	10.0.40219
Mozilla Firefox 11.0 (x86 de)	Mozilla	16.03.2012	36,9MB	11.0
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	02.02.2012	37,00KB	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	02.02.2012	1,33MB	4.20.9876.0
NVIDIA 3D Vision Controller-Treiber 285.62	NVIDIA Corporation	02.12.2011		285.62
NVIDIA 3D Vision Treiber 285.62	NVIDIA Corporation	02.12.2011		285.62
NVIDIA Drivers	NVIDIA Corporation	17.02.2012		1.4
NVIDIA Grafiktreiber 285.62	NVIDIA Corporation	02.12.2011		285.62
NVIDIA PhysX-Systemsoftware 9.11.0621	NVIDIA Corporation	02.12.2011		9.11.0621
NVIDIA Update 1.5.20	NVIDIA Corporation	02.12.2011		1.5.20
OpenOffice.org 3.3	OpenOffice.org	02.12.2011	413MB	3.3.9567
PDF24 Creator 4.4.0	PDF24.org	29.02.2012	33,7MB	
PDFCreator	Frank Heindörfer, Philip Chinery	29.02.2012		1.2.3
Skype™ 5.8	Skype Technologies S.A.	26.03.2012	19,0MB	5.8.158
Steam	Valve Corporation	04.02.2012	35,5MB	1.0.0.0
TeamSpeak 3 Client	TeamSpeak Systems GmbH	12.02.2012		
VLC media player 2.0.0	VideoLAN	16.03.2012		2.0.0
Vokabeltrainer-Update 6.0.16	Langenscheidt	20.03.2012	13,9MB	6.0.16
vShare.tv plugin 1.3	vShare.tv, Inc.	05.12.2011		1.3
Warcraft III		19.01.2012		
Warcraft III: All Products		19.01.2012		
Warkeys 1.20.0.0b		19.01.2012		1.20.0.0b
Windows Media Player Firefox Plugin	Microsoft Corp	05.12.2011	0,29MB	1.0.0.8
WinRAR 4.10 (32-Bit)	win.rar GmbH	02.02.2012		4.10.0
xp-AntiSpy 3.98	Christian Taubenheim	03.12.2011		
ZoneAlarm	Check Point, Inc	02.12.2011		9.2.058.000
ZoneAlarm Toolbar	Check Point Software Technologies	02.12.2011
         
Wie gesagt vielen Dank nochmal.

Tracker
__________________

Alt 22.04.2012, 06:46   #4
kira
/// Helfer-Team
 
TR/Rootkit.Gen8 plötzlich erschienen - Standard

TR/Rootkit.Gen8 plötzlich erschienen



1.
Du hast deinen Rechner mit zwei Anti-Viren-Programmen generell `geschwächt`:
Code:
ATTFilter
Avira und Ad-Aware
         
Wichtig:
Nur eine Firewall sowie ein Antiviren Programm verwenden, welche sich immer auf dem aktuellsten Stand befinden sollten!
Mehr AV Programme bedeutet nicht mehr Sicherheit!Die Scanner behindern sich gegenseitig (bei beiden den On-Access Scan aktiviert bzw laufen ständig im Hintergrund) und ein Systemcrash kann die Folge sein oder im schlechtesten fall, kannst Du über eine komplette Neuinstallation freuen! Deinstalliere also eines der AV-Programme und lass nur noch eins auf deinem PC laufen.
Zitat:
►Bevor du ein anderes Antivirenprogramm installierst solltest du auf jeden Fall das vorherige vollständig deinstallieren!
Je nachdem, wie Du Dich entscheidest (ich würde Ad-Aware deinstallieren):

Removal Tools oder Deinstallationsanleitungen für diverse Antiviren Software :
-> Removal Tools oder Deinstallationsanleitungen für diverse Antiviren Software

2.
ZoneAlarm:
möchte dir 4 Gründe nennen, warum nicht zu empfehlen ist:
1., In der letzten Zeit bei viele PC`s akutes Problem verbreitet hat, wie z.B.:
"Tastatur reagiert langsam, System/Internet plötzlich langsam wird, Internet funktioniert nicht, Desktopsymbole verschwunden, Programme reagieren verzögert, Abstürze usw..."
2., Bis auf die Tatsache, dass der Hersteller seine Unkosten durch "Conduit Ltd" / Adware finanziert, daher für mich sieht das nicht seriös aus, gehört in die Mülltonne !!
solange ZA installiert, nach Entfernung installiert sich Conduit eh wieder...
3., Der Angreifer kann sich jeder Zeit erhöhte Rechte verschaffen, Firewall und Virenschutz manipulieren und abschalten kann!
4., wie du siehst, hat jetzt auch nicht viel geholfen bzw das vorzeitige Eindringen dieser Malware im System nicht zuverlässig verhindern können!

wie entscheidest Du dich?
ich würde ihn deinstallieren/Entfernen und die Win Firewall einschalten. Wirst Du sehen, wie dein Rechner schneller hoch fährt
Deinstallationshilfe:
Forennachricht
ZoneAlarmPro 3 vollstndig deinstallieren

3.
reinige dein System mit CCleaner:
  • "CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

4.
Zitat:
Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)
Fixen mit OTL
  • Starte die OTL.exe.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Kopiere folgendes Skript:
Code:
ATTFilter
:OTL
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found
IE - HKLM\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2613550
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2613550
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "ZoneAlarm-Sicherheit Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}"
[2011.11.27 15:16:02 | 000,000,943 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\conduit.xml
[2012.02.02 07:52:43 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-1.xml
[2012.02.11 22:03:04 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-2.xml
[2012.02.17 21:48:19 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-3.xml
[2012.03.17 21:45:42 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-4.xml
[2011.12.30 11:01:40 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011.12.30 11:01:40 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
O2 - BHO: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Program Files\ZoneAlarm-Sicherheit\prxtbZone.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.12.18 00:43:04 | 000,000,000 | R--D | M] - D:\autorun -- [ UDF ]
O32 - AutoRun File - [2005.12.15 03:25:08 | 000,778,240 | R--- | M] (Electronic Arts) - D:\Autorun.exe -- [ UDF ]
O32 - AutoRun File - [2005.11.18 23:44:26 | 000,000,049 | R--- | M] () - D:\autorun.inf -- [ UDF ]
O33 - MountPoints2\{c2630087-1dd1-11e1-b31d-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{c2630087-1dd1-11e1-b31d-806e6f6e6963}\Shell\AutoRun\command - "" = D:\Autorun.exe -- [2005.12.15 03:25:08 | 000,778,240 | R--- | M] (Electronic Arts)

:Files
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
         
  • und füge es hier ein:
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf .
  • OTL verlangt einen Neustart. Bitte zulassen.
  • Nach dem Neustart findest Du ein Textdokument.
    Kopiere den Inhalt hier in Deinen Thread.

5.
Datei-Überprüfung

♦ Anleitung bitte hier klicken:-> Suche mit dem Windows Explorer diese Dateien (entnehme aus der Code Box):

6.
Datei-Überprüfung
Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen.
Prüfende Datei/en:
Code:
ATTFilter
C:\Windows\System32\aptwx2p08.dll
         
  • klick auf "Choose File"
  • Lass Deinen Computer in "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten" nach besagter Datei "lkapoer.dll" suchen.
  • Wenn Du die Datei gefunden hast, klickst du sie an und auf "Scan it"
  • Sollte VirusTotal melden, dass die Datei bereits überpüft wurde ("File already analysed"), lasse sie trotzdem über den Button Reanalyse erneut prüfen.
  • Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen.
  • Wenn das Ergebnis vorliegt - markieren-> kopieren -> hier einfügen - (egal wie es aussieht - nicht auslassen, das komplette Resultat wie angezeigt da reinkopieren! - und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.
    ► Oder die Ergebnisse markieren mit <Strg><A>-> kopieren mit <Strg><C>-> mit <Strg><V> hier einfügen

Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:
Scanergebnisse mitsamt Dateiname!
Code:
ATTFilter
Datei  File name:
<hier kommt die Dateiname>
Submission date:
2010-10-22 03:34:01 (UTC)
Current status:
queued queued analysing finished
Result:
.....%
    
VT Community

goodware/badware
 Safety score: 100.0% 
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.10.22.00    2010.10.21    -
AntiVir    7.10.13.15    2010.10.21    -
Antiy-AVL    2.0.3.7    2010.10.22    -
Authentium    5.2.0.5    2010.10.22    -
Avast    4.8.1351.0    2010.10.21    -
Avast5    5.0.594.0    2010.10.21    -
usw........

...werden geprüft v. mehr wie 40 Online Virus Scanner...also Geduld!!
         
Falls bei der Analyse sich herausstellt,dass die Dateien schädlich sind,lösche noch nicht,weil können unter Umständen dazu führen, dass das System nicht mehr sauber läuft[/quote]

7.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

8.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.
  • Downloade die MBR.exe von Gmer und
    kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
    Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  • Start => ausführen => cmd (da reinschreiben) => OK
    es öffnet sich eine Eingabeaufforderung.

    Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  • Nach dem Prompt (>_) folgenden

    aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
    Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

    Code:
    ATTFilter
    mbr.exe -t > C:\mbr.log & C:\mbr.log
             
    (Enter drücken)
  • Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
    Bitte kopiere den Inhalt hier in Deinen Thread.

9.
erneut einen Scan mit OTL:
  • Doppelklick auf die OTL.exe
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Oben findest Du ein Kästchen mit Ausgabe.
    Wähle bitte Standard-Ausgabe
  • Unter Extra-Registrierung wähle bitte Benutze SafeList.
  • Mache Häckchen bei LOP- und Purity-Prüfung.
  • Klicke nun auf Scan links oben.
  • Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
    Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
  • Poste die Logfiles in Code-Tags hier in den Thread.
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Alt 22.04.2012, 10:03   #5
tracker
 
TR/Rootkit.Gen8 plötzlich erschienen - Standard

TR/Rootkit.Gen8 plötzlich erschienen



Hallo kira,

vielen Dank für die schnelle Antwort.
ZoneAlarm werde ich die Tage deinstallieren.
Also ich habe alle "Scans" durchgeführt. Bei dem Scan von C:\Windows\System32\aptwx2p08.dll ist auch alles gut gelaufen nur die Datei "lkapoer.dll" konnte ich nicht finden.

Die Gmer.log, befindet sich im Anhang.

Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}\ deleted successfully.
C:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll moved successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "ZoneAlarm-Sicherheit Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\conduit.xml moved successfully.
C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-1.xml moved successfully.
C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-2.xml moved successfully.
C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-3.xml moved successfully.
C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-4.xml moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\bing.xml moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}\ not found.
File C:\Program Files\ZoneAlarm-Sicherheit\prxtbZone.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}\ deleted successfully.
C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File  not found.
File move failed. D:\Autorun.exe scheduled to be moved on reboot.
File move failed. D:\autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c2630087-1dd1-11e1-b31d-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c2630087-1dd1-11e1-b31d-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c2630087-1dd1-11e1-b31d-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c2630087-1dd1-11e1-b31d-806e6f6e6963}\ not found.
File move failed. D:\Autorun.exe scheduled to be moved on reboot.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\MS\Desktop\cmd.bat deleted successfully.
C:\Users\MS\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: MS
->Temp folder emptied: 1288857322 bytes
->Temporary Internet Files folder emptied: 133057226 bytes
->Java cache emptied: 501408 bytes
->FireFox cache emptied: 221492254 bytes
->Flash cache emptied: 3393 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 871500 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4884854 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1.573,00 mb
 
 
OTL by OldTimer - Version 3.2.40.0 log created on 04222012_083504

Files\Folders moved on Reboot...
File move failed. D:\Autorun.exe scheduled to be moved on reboot.
File move failed. D:\autorun.inf scheduled to be moved on reboot.
C:\Users\MS\AppData\Local\Temp\~DF82FB1510B5BFCAAC.TMP moved successfully.
File\Folder C:\Windows\temp\ZLT03b42.TMP not found!

Registry entries deleted on Reboot...
         

Code:
ATTFilter
SHA256: 	ed49145e9c2b7112e0b353a8402be095de6c80d89ff58caf957fd7b2fc33a328
SHA1: 	5bfe035ed8a924183431069d4d5cc34ec0825403
MD5: 	c44b6fbc58caf916f0c48a24ffbbed81
File size: 	204.0 KB ( 208896 bytes )
File name: 	aptwx2p08.dll
File type: 	Win32 DLL
Detection ratio: 	4 / 42
Analysis date: 	2012-04-22 06:54:30 UTC ( 0 Minuten ago )
0
0
More details
Antivirus 	Result 	Update
AhnLab-V3 	- 	20120421
AntiVir 	- 	20120420
Antiy-AVL 	- 	20120422
Avast 	- 	20120421
AVG 	- 	20120421
BitDefender 	Gen:Variant.Barys.596 	20120422
ByteHero 	- 	20120420
CAT-QuickHeal 	- 	20120420
ClamAV 	- 	20120422
Commtouch 	- 	20120422
Comodo 	- 	20120422
DrWeb 	- 	20120422
Emsisoft 	- 	20120422
eSafe 	- 	20120419
eTrust-Vet 	- 	20120421
F-Prot 	- 	20120421
F-Secure 	Gen:Variant.Barys.596 	20120422
Fortinet 	- 	20120422
GData 	Gen:Variant.Barys.596 	20120422
Ikarus 	- 	20120422
Jiangmin 	- 	20120422
K7AntiVirus 	- 	20120420
Kaspersky 	- 	20120422
McAfee 	- 	20120422
McAfee-GW-Edition 	- 	20120421
Microsoft 	- 	20120422
NOD32 	probably a variant of Win32/Mediyes.F 	20120422
Norman 	- 	20120421
nProtect 	- 	20120422
Panda 	- 	20120421
PCTools 	- 	20120422
Rising 	- 	20120420
Sophos 	- 	20120421
SUPERAntiSpyware 	- 	20120402
Symantec 	- 	20120422
TheHacker 	- 	20120420
TrendMicro 	- 	20120422
TrendMicro-HouseCall 	- 	20120422
VBA32 	- 	20120420
VIPRE 	- 	20120422
ViRobot 	- 	20120421
VirusBuster 	- 	20120421
         

Code:
ATTFilter
OTL logfile created on: 22.04.2012 09:33:50 - Run 3
OTL by OldTimer - Version 3.2.40.0     Folder = C:\Users\MS\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 0,73 Gb Available Physical Memory | 36,75% Memory free
4,00 Gb Paging File | 2,72 Gb Available in Paging File | 67,91% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,79 Gb Total Space | 171,03 Gb Free Space | 73,47% Space Free | Partition Type: NTFS
Drive D: | 7,01 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: MS-PC | User Name: MS | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.04.20 22:18:31 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Users\MS\Desktop\OTL.exe
PRC - [2012.03.17 21:45:11 | 000,924,600 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2012.02.09 13:43:14 | 000,160,840 | ---- | M] (Geek Software GmbH) -- C:\Programme\PDF24\pdf24.exe
PRC - [2012.01.03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2011.10.28 20:35:26 | 002,152,152 | ---- | M] (Lavasoft Limited) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
PRC - [2011.10.28 20:35:26 | 001,187,072 | ---- | M] (Lavasoft Limited) -- C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
PRC - [2011.10.28 20:35:26 | 001,101,960 | ---- | M] () -- C:\Programme\Lavasoft\Ad-Aware\AWSC.exe
PRC - [2011.10.19 17:56:15 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.10.19 17:56:01 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.10.19 17:55:48 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.10.19 17:55:48 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.10.15 10:53:00 | 002,253,120 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
PRC - [2011.10.15 10:53:00 | 001,820,480 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\Display\nvtray.exe
PRC - [2011.10.15 10:53:00 | 001,328,960 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\Display\nvxdsync.exe
PRC - [2011.10.15 01:54:40 | 000,381,248 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2011.07.29 01:08:12 | 001,259,376 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
PRC - [2011.06.24 06:22:20 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.11.20 14:17:47 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2010.06.28 14:01:30 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) -- C:\Windows\System32\ZoneLabs\vsmon.exe
PRC - [2010.06.28 13:59:52 | 001,043,968 | ---- | M] (Check Point Software Technologies LTD) -- C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
PRC - [2010.06.15 17:49:54 | 000,493,048 | ---- | M] (Check Point Software Technologies) -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe
PRC - [2010.06.15 17:49:50 | 000,738,808 | ---- | M] (Check Point Software Technologies) -- C:\Programme\CheckPoint\ZAForceField\ForceField.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.03.17 21:45:10 | 001,969,080 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll
MOD - [2012.01.09 20:44:20 | 000,166,912 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2011.10.15 01:54:26 | 000,265,536 | ---- | M] () -- C:\Programme\NVIDIA Corporation\3D Vision\Nv3DVStreaming.dll
MOD - [2011.07.29 01:09:42 | 000,096,112 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.07.29 01:08:12 | 001,259,376 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012.04.21 08:29:18 | 000,208,896 | ---- | M] (Works Ltd.) [Auto | Running] -- C:\Windows\System32\aptwx2p08.dll -- (LanmanWorkstation)
SRV - [2012.04.14 12:38:14 | 000,253,088 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.02.29 08:50:48 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.02.23 16:49:24 | 000,489,256 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2012.01.03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011.12.07 14:46:09 | 000,114,000 | ---- | M] (Joosoft.com GmbH) [Auto | Running] -- C:\Windows\System32\UpdSvc.dll -- (Update-Service)
SRV - [2011.10.28 20:35:26 | 002,152,152 | ---- | M] (Lavasoft Limited) [Auto | Running] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2011.10.19 17:56:01 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.10.19 17:55:48 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.10.15 10:53:00 | 002,253,120 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService)
SRV - [2011.10.15 01:54:40 | 000,381,248 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2010.11.20 14:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2010.06.28 14:01:30 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Running] -- C:\Windows\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.06.15 17:49:54 | 000,493,048 | ---- | M] (Check Point Software Technologies) [Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe -- (IswSvc)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\MS\AppData\Local\Temp\pxldypoc.sys -- (pxldypoc)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\MS\AppData\Local\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | System | Unknown] -- C:\Windows\system32\drivers\hidnpbgz.sys -- (hidnpbgz)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - [2012.02.15 20:41:40 | 000,137,416 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.12.04 12:38:41 | 000,017,920 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvsmu.sys -- (nvsmu)
DRV - [2011.10.28 20:35:28 | 000,064,512 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\Windows\System32\drivers\Lbd.sys -- (Lbd)
DRV - [2011.10.19 17:56:15 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.19 17:56:15 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.10.15 10:53:00 | 010,327,360 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2010.11.20 12:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 11:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010.08.12 13:07:48 | 000,298,216 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvmf6232.sys -- (NVNET)
DRV - [2010.06.17 16:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.15 17:49:46 | 000,026,872 | ---- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL)
DRV - [2010.05.15 17:30:50 | 000,461,400 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\Windows\System32\drivers\vsdatant.sys -- (Vsdatant)
DRV - [2010.02.23 22:31:06 | 000,612,352 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\arusb_win7.sys -- (arusb_win7)
DRV - [2009.07.14 00:02:52 | 000,347,264 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nvm62x32.sys -- (NVENETFD)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 60 76 7C 54 BD 1C CD 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: ""
FF - prefs.js..browser.search.defaultthis.engineName: ""
FF - prefs.js..browser.search.defaulturl: ""
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..network.proxy.type: 0
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_233.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.0: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\TrustChecker [2012.03.10 07:35:50 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012.02.12 11:03:55 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.03.17 21:45:12 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.04.12 12:53:41 | 000,000,000 | ---D | M]
 
[2011.12.03 21:22:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\MS\AppData\Roaming\mozilla\Extensions
[2012.04.20 23:12:17 | 000,000,000 | ---D | M] (No name found) -- C:\Users\MS\AppData\Roaming\mozilla\Firefox\Profiles\imls6mkq.default\extensions
[2012.01.31 23:10:42 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\MS\AppData\Roaming\mozilla\Firefox\Profiles\imls6mkq.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012.04.13 15:12:15 | 000,000,000 | ---D | M] (Ant Video Downloader) -- C:\Users\MS\AppData\Roaming\mozilla\Firefox\Profiles\imls6mkq.default\extensions\anttoolbar@ant.com
[2011.12.05 08:06:43 | 000,002,342 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icq-search.xml
[2012.04.22 08:43:48 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin-1.xml
[2011.12.30 11:01:46 | 000,000,950 | ---- | M] () -- C:\Users\MS\AppData\Roaming\Mozilla\Firefox\Profiles\imls6mkq.default\searchplugins\icqplugin.xml
[2012.03.17 21:45:19 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\USERS\MS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IMLS6MKQ.DEFAULT\EXTENSIONS\DIVXWEBPLAYER@DIVX.COM.XPI
[2012.03.17 21:45:11 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.03.06 19:08:22 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2011.10.03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2011.12.30 11:01:40 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.12.30 11:01:40 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011.12.30 11:01:40 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.12.30 11:01:40 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [ISW] C:\Program Files\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\MS\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9 - Extra Button: ICQ7.7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Programme\ICQ7.7\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Programme\ICQ7.7\ICQ.exe (ICQ, LLC.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{EFD471B6-D26D-4325-96D3-45267644A378}: NameServer = 192.168.1.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.12.18 00:43:04 | 000,000,000 | R--D | M] - D:\autorun -- [ UDF ]
O32 - AutoRun File - [2005.12.15 03:25:08 | 000,778,240 | R--- | M] (Electronic Arts) - D:\Autorun.exe -- [ UDF ]
O32 - AutoRun File - [2005.11.18 23:44:26 | 000,000,049 | R--- | M] () - D:\autorun.inf -- [ UDF ]
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (lsdelete)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.04.22 08:47:24 | 000,208,896 | ---- | C] (Works Ltd.) -- C:\Users\MS\Desktop\aptwx2p08.dll
[2012.04.22 08:35:04 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.04.21 17:41:36 | 000,000,000 | ---D | C] -- C:\Riot Games
[2012.04.21 17:41:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NewFeature1
[2012.04.21 15:55:29 | 000,000,000 | ---D | C] -- C:\Program Files\LoL
[2012.04.21 15:54:50 | 000,000,000 | ---D | C] -- C:\Users\MS\AppData\Local\PMB Files
[2012.04.21 15:54:48 | 000,000,000 | ---D | C] -- C:\ProgramData\PMB Files
[2012.04.21 10:30:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
[2012.04.21 10:30:47 | 000,000,000 | ---D | C] -- C:\Program Files\CCleaner
[2012.04.21 08:38:40 | 000,000,000 | ---D | C] -- C:\Users\MS\AppData\Roaming\Malwarebytes
[2012.04.21 08:38:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.04.21 08:38:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.04.21 08:38:33 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.04.21 08:38:33 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.04.21 08:29:18 | 000,208,896 | ---- | C] (Works Ltd.) -- C:\Windows\System32\aptwx2p08.dll
[2012.04.20 22:19:27 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012.04.20 22:18:08 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Users\MS\Desktop\OTL.exe
[2012.04.20 13:05:22 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft.NET
[2012.04.17 16:18:11 | 000,000,000 | ---D | C] -- C:\Users\MS\Documents\Command and Conquer Generals Data
[2012.04.16 19:16:55 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games
[2012.04.16 19:03:01 | 000,000,000 | ---D | C] -- C:\Program Files\EA Games
[2012.04.15 15:01:40 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Drivers HeadQuarters
[2012.04.15 14:56:43 | 000,000,000 | ---D | C] -- C:\Users\MS\AppData\Local\ElevatedDiagnostics
[2012.04.14 10:27:07 | 000,704,512 | ---- | C] (Discrete Cosine LLC) -- C:\Windows\System32\jpg23cn2.dll
[2012.04.01 22:13:07 | 000,418,464 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.03.27 15:59:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012.03.27 15:59:55 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
[2012.03.23 13:01:49 | 000,000,000 | ---D | C] -- C:\Program Files\Trend Micro
[2012.03.23 13:01:49 | 000,000,000 | ---D | C] -- C:\Users\MS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HiJackThis
 
========== Files - Modified Within 30 Days ==========
 
[2012.04.22 09:26:34 | 000,089,088 | ---- | M] () -- C:\Windows\System32\mbr.exe
[2012.04.22 09:08:25 | 000,000,384 | ---- | M] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job
[2012.04.22 09:06:25 | 000,302,592 | ---- | M] () -- C:\Users\MS\Desktop\olmfqb03.exe
[2012.04.22 08:49:10 | 000,014,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.04.22 08:49:10 | 000,014,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.04.22 08:41:46 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.04.22 08:41:41 | 1610,014,720 | -HS- | M] () -- C:\hiberfil.sys
[2012.04.22 08:39:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.04.22 08:30:43 | 000,030,762 | ---- | M] () -- C:\Users\MS\Desktop\cc_20120422_083037.reg
[2012.04.21 20:41:11 | 000,000,064 | ---- | M] () -- C:\Windows\System32\rp_stats.dat
[2012.04.21 20:41:11 | 000,000,044 | ---- | M] () -- C:\Windows\System32\rp_rules.dat
[2012.04.21 17:46:43 | 000,001,722 | ---- | M] () -- C:\Users\Public\Desktop\Play League of Legends.lnk
[2012.04.21 10:30:48 | 000,000,969 | ---- | M] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2012.04.21 08:38:35 | 000,001,071 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.04.21 08:29:18 | 000,208,896 | ---- | M] (Works Ltd.) -- C:\Windows\System32\aptwx2p08.dll
[2012.04.21 08:29:18 | 000,208,896 | ---- | M] (Works Ltd.) -- C:\Users\MS\Desktop\aptwx2p08.dll
[2012.04.20 22:18:31 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Users\MS\Desktop\OTL.exe
[2012.04.20 13:09:09 | 000,696,132 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.04.20 13:09:09 | 000,651,450 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.04.20 13:09:09 | 000,147,428 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.04.20 13:09:09 | 000,120,382 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.04.18 16:17:26 | 001,410,287 | ---- | M] () -- C:\Users\MS\Desktop\2.jpg
[2012.04.18 16:16:12 | 000,987,799 | ---- | M] () -- C:\Users\MS\Desktop\1.jpg
[2012.04.17 06:51:25 | 000,294,136 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.04.16 19:16:56 | 000,001,214 | ---- | M] () -- C:\Users\Public\Desktop\Command & Conquer Die ersten 10 Jahre.lnk
[2012.04.14 12:38:14 | 000,418,464 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.04.14 12:38:14 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012.04.14 10:27:07 | 000,704,512 | ---- | M] (Discrete Cosine LLC) -- C:\Windows\System32\jpg23cn2.dll
[2012.04.11 15:09:50 | 000,056,157 | ---- | M] () -- C:\Users\MS\Desktop\Wie-alt1.odp
[2012.04.08 15:29:46 | 000,006,598 | ---- | M] () -- C:\Users\MS\Desktop\OpenDocument Tabellendokument (neu).ods
[2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.04.02 12:19:18 | 000,018,572 | ---- | M] () -- C:\Users\MS\Desktop\Lb10.odt
[2012.03.27 15:59:56 | 000,002,505 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2012.03.26 20:17:39 | 001,274,531 | ---- | M] () -- C:\Users\MS\Desktop\123.jpg
[2012.03.23 13:01:49 | 000,002,949 | ---- | M] () -- C:\Users\MS\Desktop\HiJackThis.lnk
 
========== Files Created - No Company Name ==========
 
[2012.04.22 09:26:33 | 000,089,088 | ---- | C] () -- C:\Windows\System32\mbr.exe
[2012.04.22 09:06:22 | 000,302,592 | ---- | C] () -- C:\Users\MS\Desktop\olmfqb03.exe
[2012.04.22 08:30:41 | 000,030,762 | ---- | C] () -- C:\Users\MS\Desktop\cc_20120422_083037.reg
[2012.04.21 23:51:47 | 000,000,384 | ---- | C] () -- C:\Windows\tasks\Ad-Aware Update (Weekly).job
[2012.04.21 17:46:43 | 000,001,722 | ---- | C] () -- C:\Users\Public\Desktop\Play League of Legends.lnk
[2012.04.21 10:30:48 | 000,000,969 | ---- | C] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2012.04.21 08:38:35 | 000,001,071 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.04.18 16:17:26 | 001,410,287 | ---- | C] () -- C:\Users\MS\Desktop\2.jpg
[2012.04.18 16:16:12 | 000,987,799 | ---- | C] () -- C:\Users\MS\Desktop\1.jpg
[2012.04.16 19:16:56 | 000,001,214 | ---- | C] () -- C:\Users\Public\Desktop\Command & Conquer Die ersten 10 Jahre.lnk
[2012.04.11 14:42:07 | 000,056,157 | ---- | C] () -- C:\Users\MS\Desktop\Wie-alt1.odp
[2012.04.08 15:29:45 | 000,006,598 | ---- | C] () -- C:\Users\MS\Desktop\OpenDocument Tabellendokument (neu).ods
[2012.04.01 22:13:08 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.03.27 16:02:03 | 000,018,572 | ---- | C] () -- C:\Users\MS\Desktop\Lb10.odt
[2012.03.27 15:59:56 | 000,002,505 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk
[2012.03.26 20:18:44 | 001,274,531 | ---- | C] () -- C:\Users\MS\Desktop\123.jpg
[2012.03.23 13:01:49 | 000,002,949 | ---- | C] () -- C:\Users\MS\Desktop\HiJackThis.lnk
[2012.03.01 01:56:36 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2012.01.20 17:58:33 | 000,081,804 | ---- | C] () -- C:\Windows\War3Unin.dat
[2011.12.10 10:33:55 | 000,000,064 | ---- | C] () -- C:\Windows\System32\rp_stats.dat
[2011.12.10 10:33:55 | 000,000,044 | ---- | C] () -- C:\Windows\System32\rp_rules.dat
[2011.12.04 12:39:57 | 000,011,164 | ---- | C] () -- C:\Windows\System32\drivers\nvphy.bin
[2011.12.03 22:08:34 | 000,016,432 | ---- | C] () -- C:\Windows\System32\lsdelete.exe
[2011.10.15 01:54:52 | 000,321,856 | ---- | C] () -- C:\Windows\System32\nvStreaming.exe
 
========== LOP Check ==========
 
[2011.12.03 21:34:28 | 000,000,000 | ---D | M] -- C:\Users\MS\AppData\Roaming\CheckPoint
[2012.01.31 23:10:57 | 000,000,000 | ---D | M] -- C:\Users\MS\AppData\Roaming\DVDVideoSoft
[2012.01.31 23:10:41 | 000,000,000 | ---D | M] -- C:\Users\MS\AppData\Roaming\DVDVideoSoftIEHelpers
[2012.04.21 20:50:22 | 000,000,000 | ---D | M] -- C:\Users\MS\AppData\Roaming\ICQ
[2012.03.21 17:24:19 | 000,000,000 | ---D | M] -- C:\Users\MS\AppData\Roaming\Langenscheidt
[2011.12.05 15:51:56 | 000,000,000 | ---D | M] -- C:\Users\MS\AppData\Roaming\LolClient
[2011.12.03 22:49:43 | 000,000,000 | ---D | M] -- C:\Users\MS\AppData\Roaming\OpenOffice.org
[2012.03.01 01:56:40 | 000,000,000 | ---D | M] -- C:\Users\MS\AppData\Roaming\pdfforge
[2012.04.22 09:08:25 | 000,000,384 | ---- | M] () -- C:\Windows\Tasks\Ad-Aware Update (Weekly).job
[2012.04.21 08:28:57 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >
         

Code:
ATTFilter
OTL Extras logfile created on: 22.04.2012 09:33:50 - Run 3
OTL by OldTimer - Version 3.2.40.0     Folder = C:\Users\MS\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 0,73 Gb Available Physical Memory | 36,75% Memory free
4,00 Gb Paging File | 2,72 Gb Available in Paging File | 67,91% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,79 Gb Total Space | 171,03 Gb Free Space | 73,47% Space Free | Partition Type: NTFS
Drive D: | 7,01 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: MS-PC | User Name: MS | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{071B843C-9A39-40B3-BB01-BBD6A8D2E1C5}" = lingDIALOG
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0AC16091-C09E-462B-9AF7-A8605F4BF7CC}" = Langenscheidt Vokabeltrainer 6.0 Englisch
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{518F8DB2-65BA-40F7-B843-1F11F8F1B124}" = Vokabeltrainer-Update 6.0.16
"{66D6F3BD-CA23-41A4-9FA3-96B26B32528D}" = Command & Conquer Die ersten 10 Jahre
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{77F665FD-3F60-4B0A-AE14-EC124B7A7FCE}" = ICQ7.7
"{7F6D7FD9-648D-4DD9-BB6E-3990C675ECA4}" = NVIDIA PhysX
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 4.4.0
"{92606477-9366-4D3B-8AE3-6BE4B29727AB}" = League of Legends
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 285.62
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 285.62
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 285.62
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB" = NVIDIA 3D Vision Controller-Treiber 285.62
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.11.0621
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.5.20
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{E43196CF-182A-4D9E-9CE7-69616DBEE3B0}" = Ad-Aware
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"DivX Setup" = DivX-Setup
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.15.1228
"FUSSBALL MANAGER 12" = FUSSBALL MANAGER 12
"Grammatiktrainer 6.0 Englisch" = Langenscheidt Grammatiktrainer 6.0 Englisch
"InstallShield_{071B843C-9A39-40B3-BB01-BBD6A8D2E1C5}" = lingDIALOG
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Metin2_is1" = Metin2
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Mozilla Firefox 11.0 (x86 de)" = Mozilla Firefox 11.0 (x86 de)
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Steam App 240" = Counter-Strike: Source
"VLC media player" = VLC media player 2.0.0
"vShare.tv plugin" = vShare.tv plugin 1.3
"Warcraft III" = Warcraft III
"Warkeys" = Warkeys 1.20.0.0b
"WinRAR archiver" = WinRAR 4.10 (32-Bit)
"xp-AntiSpy" = xp-AntiSpy 3.98
"ZoneAlarm" = ZoneAlarm
"ZoneAlarm Toolbar" = ZoneAlarm Toolbar
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"Warcraft III" = Warcraft III: All Products
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 20.03.2012 10:55:44 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: LolClient.exe, Version: 2.0.2.12610,
 Zeitstempel: 0x4c00573a  Name des fehlerhaften Moduls: Adobe AIR.dll, Version: 2.5.0.16600,
 Zeitstempel: 0x4ca30e16  Ausnahmecode: 0xc0000005  Fehleroffset: 0x000121da  ID des fehlerhaften
 Prozesses: 0x480  Startzeit der fehlerhaften Anwendung: 0x01cd069bcf442e70  Pfad der
 fehlerhaften Anwendung: C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.132\deploy\LolClient.exe
Pfad
 des fehlerhaften Moduls: C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.132\deploy\Adobe
 AIR\Versions\1.0\Adobe AIR.dll  Berichtskennung: c49b99f0-729c-11e1-b208-b1c5cfbe71e5
 
Error - 20.03.2012 16:08:17 | Computer Name = MS-PC | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 22.03.2012 13:51:39 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: ICQ.exe, Version: 7.7.0.6547, Zeitstempel:
 0x4f0bf762  Name des fehlerhaften Moduls: Flash11e.ocx, Version: 11.1.102.55, Zeitstempel:
 0x4eaf89fc  Ausnahmecode: 0xc0000005  Fehleroffset: 0x001b6d6c  ID des fehlerhaften Prozesses:
 0x330  Startzeit der fehlerhaften Anwendung: 0x01cd085003126720  Pfad der fehlerhaften
 Anwendung: C:\Program Files\ICQ7.7\ICQ.exe  Pfad des fehlerhaften Moduls: C:\Windows\system32\Macromed\Flash\Flash11e.ocx
Berichtskennung:
 acc2dfd0-7447-11e1-b205-f3b9037ef5e7
 
Error - 31.03.2012 14:50:50 | Computer Name = MS-PC | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 11.04.2012 07:50:39 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: LolClient.exe, Version: 2.0.2.12610,
 Zeitstempel: 0x4c00573a  Name des fehlerhaften Moduls: Adobe AIR.dll, Version: 2.5.0.16600,
 Zeitstempel: 0x4ca30e16  Ausnahmecode: 0xc0000005  Fehleroffset: 0x000121da  ID des fehlerhaften
 Prozesses: 0x10e0  Startzeit der fehlerhaften Anwendung: 0x01cd17cc9abcfb40  Pfad der
 fehlerhaften Anwendung: C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.134\deploy\LolClient.exe
Pfad
 des fehlerhaften Moduls: C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.0.134\deploy\Adobe
 AIR\Versions\1.0\Adobe AIR.dll  Berichtskennung: 8e70e560-83cc-11e1-acfa-a858d6a49ae4
 
Error - 14.04.2012 04:47:27 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: metin2client.bin, Version: 1.0.28249.0,
 Zeitstempel: 0x4f6b109c  Name des fehlerhaften Moduls: metin2client.bin, Version:
 1.0.28249.0, Zeitstempel: 0x4f6b109c  Ausnahmecode: 0xc0000417  Fehleroffset: 0x001c4ebb
ID
 des fehlerhaften Prozesses: 0xe70  Startzeit der fehlerhaften Anwendung: 0x01cd1a19c87c14e0
Pfad
 der fehlerhaften Anwendung: C:\Program Files\Metin2\metin2client.bin  Pfad des fehlerhaften
 Moduls: C:\Program Files\Metin2\metin2client.bin  Berichtskennung: 75fe3e30-860e-11e1-b20d-f4bb44667190
 
Error - 15.04.2012 09:07:34 | Computer Name = MS-PC | Source = MsiInstaller | ID = 1018
Description = 
 
Error - 17.04.2012 14:44:56 | Computer Name = MS-PC | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 20.04.2012 08:13:54 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Skype.exe, Version: 5.8.0.158, Zeitstempel:
 0x4f4de709  Name des fehlerhaften Moduls: Skype.exe, Version: 5.8.0.158, Zeitstempel:
 0x4f4de709  Ausnahmecode: 0xc0000005  Fehleroffset: 0x006a2b11  ID des fehlerhaften Prozesses:
 0xd44  Startzeit der fehlerhaften Anwendung: 0x01cd1edb30cc9770  Pfad der fehlerhaften
 Anwendung: C:\Program Files\Skype\Phone\Skype.exe  Pfad des fehlerhaften Moduls: 
C:\Program Files\Skype\Phone\Skype.exe  Berichtskennung: 4bb5dfb0-8ae2-11e1-b272-ff43d51f53e6
 
Error - 22.04.2012 02:35:45 | Computer Name = MS-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: svchost.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc100  Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.17725,
 Zeitstempel: 0x4ec49b60  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0006ef85  ID des fehlerhaften
 Prozesses: 0x310  Startzeit der fehlerhaften Anwendung: 0x01cd2051a5997d80  Pfad der
 fehlerhaften Anwendung: C:\Windows\system32\svchost.exe  Pfad des fehlerhaften Moduls:
 C:\Windows\SYSTEM32\ntdll.dll  Berichtskennung: 637130a0-8c45-11e1-8512-eb0c5a78439b
 
[ System Events ]
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Arbeitsstationsdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%2
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Arbeitsstationsdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1062
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Arbeitsstationsdienst" wurde mit folgendem Fehler beendet:
   %%2
 
Error - 20.04.2012 16:50:55 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Arbeitsstationsdienst"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%2
 
Error - 21.04.2012 02:28:59 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Arbeitsstationsdienst" wurde mit folgendem Fehler beendet:
   %%2
 
Error - 21.04.2012 04:37:31 | Computer Name = MS-PC | Source = BROWSER | ID = 8032
Description = 
 
Error - 22.04.2012 02:35:04 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 22.04.2012 02:35:47 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "RPC-Endpunktzuordnung" wurde unerwartet beendet. Dies 
ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden
 durchgeführt: Neustart des Diensts.
 
Error - 22.04.2012 02:35:47 | Computer Name = MS-PC | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet. 
Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 
Millisekunden durchgeführt: Neustart des Computers.
 
Error - 22.04.2012 02:39:56 | Computer Name = MS-PC | Source = BROWSER | ID = 8007
Description = 
 
 
< End of report >
         
#
Danke nochmals Tracker.

Angehängte Dateien
Dateityp: zip Gmer.zip (6,6 KB, 90x aufgerufen)

Alt 22.04.2012, 19:55   #6
kira
/// Helfer-Team
 
TR/Rootkit.Gen8 plötzlich erschienen - Standard

TR/Rootkit.Gen8 plötzlich erschienen



Punkt 8. (MBR) fehlt noch!

außerdem folgende Prüfung :-> LanmanworkstationChecker
__________________
--> TR/Rootkit.Gen8 plötzlich erschienen

Geändert von kira (22.04.2012 um 20:12 Uhr)

Alt 22.04.2012, 22:39   #7
tracker
 
TR/Rootkit.Gen8 plötzlich erschienen - Standard

TR/Rootkit.Gen8 plötzlich erschienen



Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.1.7601 Disk: STM3250318AS rev.CC37 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Code:
ATTFilter
DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\aptwx2p08.dll
Geladene DLL: C:\Windows\System32\aptwx2p08.dll
Signatur der DLL: 
Rückgabe der Signaturermittlung: Es war keine Signatur im Antragsteller vorhanden.

MD5 der DLL: C44B6FBC58CAF916F0C48A24FFBBED81

Sie sind scheinbar mit dem Lanmanworkstation Trojaner infiziert!
         
Sieht nicht so gut aus der LanmanworkstationChecker oder?
Mein Antivir zeigt mir keinen Virus bzw. Fund mehr an..
Gruß

Geändert von tracker (22.04.2012 um 22:45 Uhr)

Alt 23.04.2012, 08:21   #8
kira
/// Helfer-Team
 
TR/Rootkit.Gen8 plötzlich erschienen - Standard

TR/Rootkit.Gen8 plötzlich erschienen



nein, sieht nicht gut aus, dein System ist mit Trojan.LanMan/Rootkit infiziert
Um Rootkits sicher zu entfernen, ist wohl keine Auswahl-Option gibt, als die Festplatte formatieren und Windows neu einrichten. Den "Auslieferungszustand wiederherzustellen" bzw so dass Du zu 100% dein System vertrauen kannst, ist nur mit Neuinstallation jeweils eine Änderung der Passwort und Zugangsdaten möglich.
Zitat:
-> was ist ein Rootkit
Rootkits haben die Eigenschaften, dass sie die Binärdateien und Bibliotheken des Systems verändern, den Kernel unterwandern können "Direct Kernel Object Manipulation".
__________________

Warnung!:
Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
Anhang nicht öffnen, in unserem Forum erst nachfragen!

Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
Bitte diese Warnung weitergeben, wo Du nur kannst!

Antwort

Themen zu TR/Rootkit.Gen8 plötzlich erschienen
.dll, antivir, avira, desktop, diverse, explorer.exe, foren, internet, lsass.exe, microsoft, modul, namen, nt.dll, pdf, programm, prozesse, registry, scan, services.exe, software, svchost.exe, system, taskhost.exe, tr/rootkit.gen, trojaner, verweise, windows, winlogon.exe



Ähnliche Themen: TR/Rootkit.Gen8 plötzlich erschienen


  1. Linux-Firwall IPFire 2.17, Core Update 93 erschienen
    Nachrichten - 18.08.2015 (0)
  2. Avira findet TR/Crypt.ZPACK.Gen8, TR/Vcaredrix.A.3 und Tr/Crpyt.EPACK.Gen8
    Plagegeister aller Art und deren Bekämpfung - 30.08.2012 (21)
  3. TR/ATRAPS.Gen + TR/Rootkit.Gen8
    Plagegeister aller Art und deren Bekämpfung - 25.04.2012 (20)
  4. TR/MediyesH.A.9 TR/Rootkit.Gen8 TR/ATRAPS.gen
    Log-Analyse und Auswertung - 08.04.2012 (16)
  5. Backtrack 5 erschienen
    Diskussionsforum - 13.05.2011 (1)
  6. Internet Explorer 9 erschienen
    Nachrichten - 16.03.2011 (4)
  7. Critical Fix 1 für Kaspersky 2011 erschienen
    Nachrichten - 15.07.2010 (0)
  8. NetBSD 5.0.2 erschienen
    Nachrichten - 15.02.2010 (0)
  9. PSP Sicherheitssoftware erschienen!!!
    Antiviren-, Firewall- und andere Schutzprogramme - 01.05.2009 (2)
  10. VLC 0.9.2 erschienen
    Alles rund um Windows - 16.09.2008 (1)
  11. Neue Version von Firefox erschienen
    Alles rund um Windows - 03.05.2006 (1)
  12. CWShredder in der Version 2.x erschienen
    Archiv - 09.08.2005 (4)
  13. Firefox 1.0 Final erschienen
    Netzwerk und Hardware - 09.11.2004 (3)
  14. Offizielle Ad-aware Sprachdatei erschienen
    Antiviren-, Firewall- und andere Schutzprogramme - 17.10.2004 (0)
  15. Inoffizielles deutsches Sprachpaket von Ad-aware erschienen
    Antiviren-, Firewall- und andere Schutzprogramme - 13.09.2004 (2)
  16. Neue Version von Ad-aware erschienen
    Antiviren-, Firewall- und andere Schutzprogramme - 13.08.2004 (19)

Zum Thema TR/Rootkit.Gen8 plötzlich erschienen - Hallo, mein Avira ANtivir meldet seit heute den Fund: TR/Rootkit.Gen8 // C:\Windows\System32\ntqunry6.sys Ich habe mich selbstverständlich im Internet schlau gemacht was dieser Trojaner genau bedeutet und bin da nicht sonderlich - TR/Rootkit.Gen8 plötzlich erschienen...
Archiv
Du betrachtest: TR/Rootkit.Gen8 plötzlich erschienen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.