Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A

madz · 09.11.2009, 02:10

hallo,
ich nutze kaspersky security suite cbe.
seit etwa einer woche ( nach komplettscan nach längerer zeit) bekomme ich die meldung:
gefunden: neue Bedrohung Hidden.Object (Modifikation) Datei: C:\WINDOWS:45203195861BE07A

ich habe ein administrator und ein online profil. seitdem scanne ich regelmässig den "kritischen bereich", die scans habe ich im administrator-profil durchgeführt. nach neustart und neu-scan war das problem gelöst. ich dachte, dass es damit auch im online-profil erledigt sei. dass dem nicht so ist, habe ich erst gestern festgestellt. auch nachdem ich das online-profil zum administratorkonto (benutzerkontoänderung) umgeändert habe, lässt sich das problem nicht lösen. trotz der meldung, dass nach dem neustart alles gelöscht würde, bleibt es - im gegensatz zum administrator-profil - im online-profil vorhanden.

Code:

ATTFilter


Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3130
Windows 5.1.2600 Service Pack 3

09.11.2009 00:28:50
mbam-log-2009-11-09 (00-28-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 172351
Laufzeit: 1 hour(s), 15 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe (Rogue.Installer) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Setup.exe (Rogue.Installer) -> No action taken.





Logfile of random's system information tool 1.06 (written by random/random)
Run by xxx Online at 2009-11-09 00:35:21
Microsoft Windows XP Professional Service Pack 3
System drive C: has 12 GB (16%) free of 76 GB
Total RAM: 511 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:35:52, on 09.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Dokumente und Einstellungen\Claudia Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\ISW\netcol.dsl\signup\NcDial.exe
C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Downloads\RSIT.exe
C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Downloads\xxx Online.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CS1\Services\Tcpip\..\{13D3DF4D-676D-426B-AC74-14701C35A747}: NameServer = 213.168.112.60 194.8.194.60
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 8166 bytes

madz · 09.11.2009, 02:13

und hier der rest:

Code:

ATTFilter


======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class - C:\Programme\Orbitdownloader\orbitcth.dll [2009-02-04 134344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-07-12 312928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-12 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-12 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"=C:\WINDOWS\System32\NeroCheck.exe [2001-07-09 155648]
"CloneCDTray"=C:\Programme\SlySoft\CloneCD\CloneCDTray.exe [2006-09-28 57344]
"AVP"=C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe [2008-05-01 221184]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"WinDSL MTU-Adjust"=C:\WINDOWS\system32\WinDSL_MTU.exe [2001-02-15 65536]
"UnlockerAssistant"=C:\Dokumente und Einstellungen\Claudia Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe [2008-05-02 15872]
"TrueImageMonitor.exe"=C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe [2005-11-30 1009779]
"Acronis Scheduler2 Service"=C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2005-11-30 118784]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-12 148888]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-07-12 198160]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [2007-03-01 153136]
"NBKeyScan"=C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [2007-12-03 2213160]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-05-26 413696]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-09-10 420176]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"AnyDVD"=C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe [2008-09-09 2182080]
"msnmsgr"=C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-02-06 3885408]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-05-26 413696]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
AutoUpdate Monitor.lnk - C:\Programme\Sophos\AutoUpdate\ALMon.exe
Orbit.lnk - C:\Programme\Orbitdownloader\orbitdm.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2008-02-08 219664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-08-24 133120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SAVService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Orbitdownloader\orbitdm.exe"="C:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit"
"C:\Programme\Orbitdownloader\orbitnet.exe"="C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 3 months======

2009-11-08 22:00:11 ----D---- C:\rsit
2009-11-08 21:58:18 ----D---- C:\Dokumente und Einstellungen\Claudia Online\Anwendungsdaten\Malwarebytes
2009-11-08 21:58:03 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-11-08 21:58:03 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-02 16:02:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2009-10-31 16:01:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-10-27 20:14:59 ----A---- C:\WINDOWS\ppdrv.ini
2009-10-27 20:14:34 ----A---- C:\WINDOWS\system32\umaxud32.dll
2009-10-27 20:14:34 ----A---- C:\WINDOWS\system32\umaxu12.dll
2009-10-27 20:14:33 ----A---- C:\WINDOWS\system32\umaxscan.dll
2009-08-30 20:24:36 ----D---- C:\Dokumente und Einstellungen\Claudia Online\Anwendungsdaten\Apple Computer
2009-08-30 19:55:19 ----D---- C:\Programme\QuickTime
2009-08-30 19:55:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-30 19:44:12 ----D---- C:\Programme\Apple Software Update
2009-08-30 19:44:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2009-08-16 17:02:47 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-08-16 16:58:56 ----D---- C:\Programme\Gemeinsame Dateien\AVSMedia
2009-08-16 16:53:10 ----HDC---- C:\WINDOWS\$NtUninstallWMFDist11$
2009-08-16 16:49:50 ----A---- C:\WINDOWS\system32\msvcp70.dll
2009-08-16 16:49:50 ----A---- C:\WINDOWS\system32\mfc70.dll
2009-08-16 16:49:49 ----A---- C:\WINDOWS\system32\msxml3a.dll
2009-08-16 16:49:49 ----A---- C:\WINDOWS\system32\GdiPlus.dll
2009-08-16 16:49:48 ----D---- C:\Programme\AVS4YOU
2009-08-15 21:30:28 ----D---- C:\Programme\MultiCard
2009-08-15 21:03:14 ----A---- C:\WINDOWS\Irremote.ini
2009-08-15 20:59:43 ----D---- C:\Programme\Windows Sidebar
2009-08-15 09:28:50 ----D---- C:\Dokumente und Einstellungen\Claudia Online\Anwendungsdaten\Nero
2009-08-15 00:20:16 ----A---- C:\WINDOWS\system32\MsiExec.exe.log
2009-08-15 00:13:57 ----D---- C:\Programme\Gemeinsame Dateien\Nero
2009-08-14 16:13:35 ----D---- C:\Dokumente und Einstellungen\Claudia Online\Anwendungsdaten\Canneverbe_Limited
2009-08-14 15:05:20 ----D---- C:\finalburner
2009-08-11 15:44:54 ----A---- C:\WINDOWS\muma2000.INI
2009-08-11 15:32:10 ----A---- C:\WINDOWS\MAGIX.ini
2009-08-11 15:31:53 ----D---- C:\MAGIX
2009-08-10 12:04:19 ----A---- C:\WINDOWS\system32\d3dx10_41.dll
2009-08-10 12:04:19 ----A---- C:\WINDOWS\system32\D3DCompiler_41.dll
2009-08-10 12:04:18 ----A---- C:\WINDOWS\system32\D3DX9_41.dll
2009-08-10 12:04:15 ----A---- C:\WINDOWS\system32\XAudio2_4.dll
2009-08-10 12:04:15 ----A---- C:\WINDOWS\system32\XAPOFX1_3.dll
2009-08-10 12:04:14 ----A---- C:\WINDOWS\system32\xactengine3_4.dll
2009-08-10 12:04:14 ----A---- C:\WINDOWS\system32\X3DAudio1_6.dll
2009-08-10 12:04:12 ----A---- C:\WINDOWS\system32\d3dx10_40.dll
2009-08-10 12:04:12 ----A---- C:\WINDOWS\system32\D3DCompiler_40.dll
2009-08-10 12:04:11 ----A---- C:\WINDOWS\system32\D3DX9_40.dll
2009-08-10 12:04:09 ----A---- C:\WINDOWS\system32\XAudio2_3.dll
2009-08-10 12:04:09 ----A---- C:\WINDOWS\system32\XAPOFX1_2.dll
2009-08-10 12:04:08 ----A---- C:\WINDOWS\system32\xactengine3_3.dll
2009-08-10 12:04:08 ----A---- C:\WINDOWS\system32\X3DAudio1_5.dll
2009-08-10 12:04:07 ----A---- C:\WINDOWS\system32\XAudio2_2.dll
2009-08-10 12:04:07 ----A---- C:\WINDOWS\system32\XAPOFX1_1.dll
2009-08-10 12:04:06 ----A---- C:\WINDOWS\system32\xactengine3_2.dll
2009-08-10 12:04:05 ----A---- C:\WINDOWS\system32\d3dx10_39.dll
2009-08-10 12:04:05 ----A---- C:\WINDOWS\system32\D3DCompiler_39.dll
2009-08-10 12:04:04 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-08-10 12:04:03 ----A---- C:\WINDOWS\system32\XAudio2_1.dll
2009-08-10 12:04:03 ----A---- C:\WINDOWS\system32\XAPOFX1_0.dll
2009-08-10 12:04:02 ----A---- C:\WINDOWS\system32\xactengine3_1.dll
2009-08-10 12:04:01 ----A---- C:\WINDOWS\system32\X3DAudio1_4.dll
2009-08-10 12:03:59 ----A---- C:\WINDOWS\system32\d3dx10_38.dll
2009-08-10 12:03:59 ----A---- C:\WINDOWS\system32\D3DCompiler_38.dll
2009-08-10 12:03:58 ----A---- C:\WINDOWS\system32\D3DX9_38.dll
2009-08-10 12:03:57 ----A---- C:\WINDOWS\system32\XAudio2_0.dll
2009-08-10 12:03:56 ----A---- C:\WINDOWS\system32\xactengine3_0.dll
2009-08-10 12:03:56 ----A---- C:\WINDOWS\system32\X3DAudio1_3.dll
2009-08-10 12:03:55 ----A---- C:\WINDOWS\system32\d3dx10_37.dll
2009-08-10 12:03:55 ----A---- C:\WINDOWS\system32\D3DCompiler_37.dll
2009-08-10 12:03:54 ----A---- C:\WINDOWS\system32\D3DX9_37.dll
2009-08-10 12:03:53 ----A---- C:\WINDOWS\system32\xactengine2_10.dll
2009-08-10 12:03:51 ----A---- C:\WINDOWS\system32\d3dx10_36.dll
2009-08-10 12:03:51 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll
2009-08-10 12:03:50 ----A---- C:\WINDOWS\system32\d3dx9_36.dll
2009-08-10 12:03:48 ----A---- C:\WINDOWS\system32\xactengine2_9.dll
2009-08-10 12:03:47 ----A---- C:\WINDOWS\system32\d3dx10_35.dll
2009-08-10 12:03:47 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll
2009-08-10 12:03:36 ----A---- C:\WINDOWS\system32\d3dx9_35.dll
2009-08-10 12:03:29 ----A---- C:\WINDOWS\system32\xactengine2_8.dll
2009-08-10 12:03:29 ----A---- C:\WINDOWS\system32\X3DAudio1_2.dll
2009-08-10 12:03:24 ----A---- C:\WINDOWS\system32\d3dx10_34.dll
2009-08-10 12:03:24 ----A---- C:\WINDOWS\system32\D3DCompiler_34.dll
2009-08-10 12:03:18 ----A---- C:\WINDOWS\system32\d3dx9_34.dll
2009-08-10 12:03:12 ----A---- C:\WINDOWS\system32\xinput1_3.dll
2009-08-10 12:03:03 ----A---- C:\WINDOWS\system32\xactengine2_7.dll
2009-08-10 12:02:58 ----A---- C:\WINDOWS\system32\d3dx10_33.dll
2009-08-10 12:02:58 ----A---- C:\WINDOWS\system32\D3DCompiler_33.dll
2009-08-10 12:02:47 ----A---- C:\WINDOWS\system32\d3dx9_33.dll
2009-08-10 12:02:44 ----A---- C:\WINDOWS\system32\xactengine2_6.dll
2009-08-10 12:02:31 ----A---- C:\WINDOWS\system32\xactengine2_5.dll
2009-08-10 12:02:29 ----A---- C:\WINDOWS\system32\d3dx9_32.dll
2009-08-10 12:02:27 ----A---- C:\WINDOWS\system32\xactengine2_4.dll
2009-08-10 12:02:27 ----A---- C:\WINDOWS\system32\x3daudio1_1.dll
2009-08-10 12:02:26 ----A---- C:\WINDOWS\system32\d3dx9_31.dll
2009-08-10 12:02:23 ----A---- C:\WINDOWS\system32\xactengine2_3.dll
2009-08-10 12:02:21 ----A---- C:\WINDOWS\system32\xinput1_2.dll
2009-08-10 12:02:20 ----A---- C:\WINDOWS\system32\xactengine2_2.dll
2009-08-10 12:02:19 ----A---- C:\WINDOWS\system32\xinput1_1.dll
2009-08-10 12:02:17 ----A---- C:\WINDOWS\system32\xactengine2_1.dll
2009-08-10 12:01:55 ----A---- C:\WINDOWS\system32\xactengine2_0.dll
2009-08-10 12:01:55 ----A---- C:\WINDOWS\system32\x3daudio1_0.dll
2009-08-10 12:01:54 ----A---- C:\WINDOWS\system32\d3dx9_29.dll
2009-08-10 12:01:50 ----A---- C:\WINDOWS\system32\xinput9_1_0.dll
2009-08-10 12:01:49 ----A---- C:\WINDOWS\system32\d3dx9_27.dll
2009-08-10 12:01:47 ----A---- C:\WINDOWS\system32\d3dx9_26.dll
2009-08-10 12:01:46 ----A---- C:\WINDOWS\system32\d3dx9_25.dll
2009-08-10 12:01:36 ----A---- C:\WINDOWS\system32\d3dx9_24.dll
2009-08-10 11:54:33 ----D---- C:\WINDOWS\Logs

======List of files/folders modified in the last 3 months======

2009-11-08 23:34:33 ----D---- C:\WINDOWS\Temp
2009-11-08 22:57:42 ----D---- C:\Programme\Mozilla Firefox
2009-11-08 22:51:51 ----D---- C:\WINDOWS\Minidump
2009-11-08 22:51:51 ----AD---- C:\WINDOWS
2009-11-08 21:58:07 ----D---- C:\WINDOWS\Prefetch
2009-11-08 21:58:05 ----D---- C:\WINDOWS\system32\drivers
2009-11-08 21:58:03 ----RD---- C:\Programme
2009-11-08 21:20:26 ----D---- C:\WINDOWS\system32\CatRoot2
2009-11-08 21:20:05 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-11-08 21:19:24 ----D---- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Orbit
2009-11-08 21:17:30 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-11-08 19:06:41 ----A---- C:\WINDOWS\NeroDigital.ini
2009-11-08 18:21:15 ----D---- C:\WINDOWS\SoftwareDistribution
2009-11-08 01:52:25 ----D---- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\vlc
2009-11-06 14:14:47 ----D---- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\dvdcss
2009-11-04 08:30:04 ----D---- C:\Programme\SUPERAntiSpyware
2009-10-28 10:44:33 ----D---- C:\WINDOWS\system32
2009-10-28 10:44:33 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-10-27 20:44:10 ----SD---- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Microsoft
2009-10-27 20:14:56 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-21 20:36:11 ----A---- C:\WINDOWS\system32\lsdelete.exe
2009-08-30 20:04:38 ----SHD---- C:\WINDOWS\Installer
2009-08-30 19:45:11 ----SD---- C:\WINDOWS\Tasks
2009-08-23 22:48:55 ----HD---- C:\WINDOWS\inf
2009-08-16 16:58:56 ----D---- C:\Programme\Gemeinsame Dateien
2009-08-16 16:53:49 ----D---- C:\Programme\Windows Media Player
2009-08-15 21:01:34 ----D---- C:\Programme\Nero
2009-08-15 20:52:48 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2009-08-15 00:13:53 ----D---- C:\WINDOWS\Cursors
2009-08-15 00:07:02 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-08-11 15:31:36 ----D---- C:\WINDOWS\system
2009-08-10 13:06:02 ----D---- C:\Programme\ffdshow
2009-08-10 12:04:28 ----D---- C:\WINDOWS\system32\DirectX
2009-08-10 12:02:17 ----RSD---- C:\WINDOWS\assembly

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R1 klif;Klif; \??\C:\WINDOWS\system32\drivers\klif.sys []
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 SAVOnAccessControl;SAVOnAccessControl; C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2008-07-18 104704]
R1 SAVOnAccessFilter;SAVOnAccessFilter; C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2008-07-18 35584]
R1 Uim_IM;UIM Drive Backup Image Plugin; C:\WINDOWS\System32\Drivers\Uim_IM.sys [2007-09-05 131736]
R1 UimBus;Universal Image Mounter Controller; C:\WINDOWS\system32\DRIVERS\UimBus.sys [2007-09-05 32080]
R2 acedrv10;acedrv10; \??\C:\WINDOWS\System32\drivers\acedrv10.sys []
R2 acehlp10;acehlp10; \??\C:\WINDOWS\System32\drivers\acehlp10.sys []
R2 ASPIXNT;ASPIXNT; C:\WINDOWS\system32\drivers\ASPIXNT.sys [2008-12-27 6336]
R2 tifsfilter;Acronis TrueImage FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2009-07-06 30688]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2008-09-04 99648]
R3 ati2mtaa;ati2mtaa; C:\WINDOWS\System32\DRIVERS\ati2mtaa.sys [2008-04-14 327168]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2007-02-16 34760]
R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2007-02-16 11984]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 Maplom;Maplom; C:\WINDOWS\system32\drivers\Maplom.sys [2008-09-08 37312]
R3 MaplomL;MaplomL; C:\WINDOWS\system32\drivers\MaplomL.sys [2008-09-08 38336]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernetadapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2008-04-13 20992]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 VIAudio;VIA AC'97 Enhanced Audio Controller (WDM); C:\WINDOWS\system32\drivers\viaudio.sys [2002-03-11 43776]
R3 WinDSLa;WinDSL-Adapter  (PPP-over-Ethernet); C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
S3 ati2mpaa;ati2mpaa; C:\WINDOWS\System32\DRIVERS\ati2mpaa.sys [2001-08-18 281984]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 DCamUSBEMPIA;PCTV USB2 2821 Capture; C:\WINDOWS\system32\DRIVERS\emDevice.sys [2004-04-06 100957]
S3 emAudio;PCTV USB2 2821 Audio; C:\WINDOWS\system32\drivers\emAudio.sys [2004-05-05 19584]
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\System32\DRIVERS\fetnd5.sys [2001-08-17 27165]
S3 FiltUSBEMPIA;USB Device Lower Filter; C:\WINDOWS\system32\DRIVERS\emFilter.sys [2004-04-06 5245]
S3 MHIKEY10;MHIKEY10; C:\WINDOWS\System32\Drivers\MHIKEY10.sys [2008-05-27 51072]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 ScanUSBEMPIA;USB Still Image Capture Device; C:\WINDOWS\system32\DRIVERS\emScan.sys [2004-04-06 4493]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-14 60032]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WinDSLp;%WinDSLp_Desc%; C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-08-24 38656]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 SophosBootDriver;SophosBootDriver; C:\WINDOWS\system32\DRIVERS\SophosBootDriver.sys [2008-05-23 14976]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2005-11-30 172032]
R2 AVP;Kaspersky Security Suite CBE; C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe [2008-05-01 221184]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-12 152984]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-09-21 1028432]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe [2007-12-03 869672]
R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe [2008-09-24 935208]
R2 NMSAccessU;NMSAccessU; C:\Programme\CDBurnerXP\NMSAccessU.exe [2009-07-13 71096]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter; C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [2008-12-09 69632]
R2 SAVService;Sophos Anti-Virus; C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe [2008-12-09 98304]
R2 Sophos AutoUpdate Service;Sophos AutoUpdate Service; C:\Programme\Sophos\AutoUpdate\ALsvc.exe [2008-06-26 172032]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 NMIndexingService;NMIndexingService; C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe [2007-12-13 447784]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

-----------------EOF-----------------

bitte hiiiiiilfeeee.
vielen dank schon mal, für´s lesen. :-)

madz

madz · 14.12.2009, 20:34

kaspersky meldet unbeirrbar das hidden object :-(
kann das vielleicht einfach nur ein fragment sein von einem gelöschten trojaner, und hängt da jetzt so (unschädlich?) in einer ecke rum, um dich und mich zu ärgern? ;-)

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:31:48, on 14.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Dokumente und Einstellungen\Claudia Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Claudia Online\Eigene Dateien\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Dokumente und Einstellungen\Claudia Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - 
O17 - HKLM\System\CS1\Services\Tcpip\..\{13D3DF4D-676D-426B-AC74-14701C35A747}: NameServer = 213.168.112.60 194.8.194.60
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe

--
End of file - 7552 bytes

Larusso · 14.12.2009, 22:21

Starte HijackThis --> open Misctool selection --> Open ADS Spy ... --> klicke nun auf Scan --> Wenn der Scan beendet wurde, klicke auf Save Log und poste mir diese.

madz · 14.12.2009, 22:32

OMG, da ist es! und jetzt?

? *grins*

Code:

ATTFilter

C:\WINDOWS : 45203195861BE07A  (24 bytes)

Larusso · 15.12.2009, 11:56

Jetzt gibts

Starte HijackThis --> open Misctool selection --> Open ADS Spy ... --> klicke nun auf Scan --> Wenn der Scan beendet wurde, setze ein Häckchen neben die Datei. Klicke nun auf Remove selected.

Starte den Rechner neu auf und lass HJT nochmal scannen.

madz · 15.12.2009, 23:59

Code:

ATTFilter

All processes killed
========== OTL ==========
Unable to delete ADS C:\WINDOWS:45203195861BE07A .
File rity] not found.
File ptytemp] not found.
File art explorer] not found.
File boot] not found.
 
OTL by OldTimer - Version 3.1.17.0 log created on 12152009_234614

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

kann es damit zu tun haben, dass bei 2 meiner festplatten (beim reboot) windows grundsätzlich nicht hochfährt, bevor ich sie ausgeschaltet habe, und reset gedrückt habe?

Larusso · 16.12.2009, 09:02

Ich tippe jetzt erstmal darauf, dass der ADS zu einer Software gehört. Ich werde mich mal umhören ob jemand was dazu sagen kann.

madz · 12.11.2009, 15:36

sorry, mir ist aufgefallen, dass noch eine angabe fehlt: es handelt sich um ein windows xp betriebssystem.

ich hoffe, das war's an fehlern.

gruss,
madz

madz · 30.11.2009, 22:58

hallo,

nach wochen des wartens nicht mal eine klitzekleine antwort. :-(
selbst ein: "keine ahnung", "bearbeiten wir nicht", oder "du hast was vergessen oder falsch gemacht" wäre schon okay gewesen.
dann wüsste frau wenigstens wo sie dran ist.

wenn gar nichts mehr kommt, kann mein beitrag auch gelöscht werden.

gruss,
madz

Larusso · 30.11.2009, 23:02

Wenn Du mit dir selber schreibst, denkt jeder der Thread ist schon in arbeit

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

Code:

ATTFilter

deine Logfile

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

schritt 1

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.exe
%SYSTEMDRIVE%\eventlog.dll /s /md5
%SYSTEMDRIVE%\scecli.dll /s /md5
%SYSTEMDRIVE%\netlogon.dll /s /md5
%SYSTEMDRIVE%\cngaudit.dll /s /md5
%SYSTEMDRIVE%\sceclt.dll /s /md5
%SYSTEMDRIVE%\ntelogon.dll /s /md5
%SYSTEMDRIVE%\logevent.dll /s /md5
%SYSTEMDRIVE%\iaStor.sys /s /md5
%SYSTEMDRIVE%\nvstor.sys /s /md5
%SYSTEMDRIVE%\atapi.sys /s /md5
%SYSTEMDRIVE%\IdeChnDr.sys /s /md5
%SYSTEMDRIVE%\viasraid.sys /s /md5
%SYSTEMDRIVE%\AGP440.sys /s /md5
%SYSTEMDRIVE%\vaxscsi.sys /s /md5
%SYSTEMDRIVE%\nvatabus.sys /s /md5
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Code-Tags in Deinen Thread

schritt 3

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

madz · 03.12.2009, 03:43

hallo daniel,

schön dich zu lesen! :-)

ich hatte schon die hoffnung aufgegeben. und jetzt lese ich: keine crosspostings... ich wusste nicht, dass das ein problem ist, und habe in einem anderen forum gepostet, als hier nix kam...

habe ein hjt gepostet, antivir rescue und clamwin laufen lassen und alle überzähligen virenscanner entfernt.
ist seit wochen abgeschlossen.

bitte jetzt nicht wieder in der versenkung verschwinden...

die arbeit schreckt mich nicht. hier schon mal OTL:

#

Code:

ATTFilter

 
OTL logfile created on: 01.12.2009 03:45:36 - Run 1
OTL by OldTimer - Version 3.1.11.4     Folder = C:\Dokumente und Einstellungen\xxx Online\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,48 Mb Total Physical Memory | 209,57 Mb Available Physical Memory | 40,97% Memory free
1,22 Gb Paging File | 0,68 Gb Available in Paging File | 55,90% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 9,72 Gb Free Space | 13,05% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: NERD
Current User Name: xxx Online
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2009.12.01 03:38:43 | 00,535,552 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Claudia Online\Desktop\OTL.exe
PRC - [2009.11.06 17:06:58 | 00,908,248 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2009.07.13 22:18:12 | 00,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
PRC - [2009.07.12 22:38:38 | 00,198,160 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
PRC - [2009.07.12 22:23:43 | 00,152,984 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jqs.exe
PRC - [2009.07.12 22:23:43 | 00,148,888 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jusched.exe
PRC - [2008.09.24 13:32:48 | 00,935,208 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
PRC - [2008.05.02 05:15:46 | 00,015,872 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe
PRC - [2008.05.01 15:33:30 | 00,221,184 | ---- | M] (Kaspersky Lab) -- C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
PRC - [2008.04.14 07:53:08 | 00,013,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wscntfy.exe
PRC - [2008.04.14 07:52:46 | 01,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.12.03 13:21:24 | 00,869,672 | ---- | M] (Nero AG) -- C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
PRC - [2005.11.30 12:08:52 | 01,009,779 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
PRC - [2005.11.30 12:08:52 | 00,172,032 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2005.11.30 12:08:52 | 00,118,784 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2004.12.15 13:01:18 | 00,230,400 | ---- | M] (ProDyne) -- C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2009.12.01 03:38:43 | 00,535,552 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTL.exe
MOD - [2008.05.02 05:15:35 | 00,004,608 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Unlocker\UnlockerHook.dll
MOD - [2008.02.08 19:37:48 | 00,088,592 | ---- | M] (Kaspersky Lab) -- C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
MOD - [2008.02.08 19:37:42 | 00,048,656 | ---- | M] (Kaspersky Lab) -- C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
MOD - [2008.02.08 19:37:30 | 00,084,496 | ---- | M] (Kaspersky Lab) -- C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\adialhk.dll
MOD - [2006.12.01 22:54:32 | 00,626,688 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2009.08.17 13:01:44 | 00,099,176 | ---- | M] (SiSoftware) -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe -- (SandraAgentSrv)
SRV - [2009.07.13 22:18:12 | 00,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
SRV - [2009.07.12 22:23:43 | 00,152,984 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2008.09.24 13:32:48 | 00,935,208 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2008.05.01 15:33:30 | 00,221,184 | ---- | M] (Kaspersky Lab) -- C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe -- (AVP)
SRV - [2007.12.13 18:10:56 | 00,447,784 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2007.12.03 13:21:24 | 00,869,672 | ---- | M] (Nero AG) -- C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe -- (Nero BackItUp Scheduler 3)
SRV - [2005.11.30 12:08:52 | 00,172,032 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2003.07.28 12:28:22 | 00,089,136 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.2.0.8
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: orbit_ffext@orbitdownloader:2.02
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2009.07.12 22:40:20 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.11.06 17:07:07 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.11.06 17:07:07 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.11.06 17:07:07 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.11.06 17:07:07 | 00,000,000 | ---D | M]
 
[2009.02.16 22:39:05 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Mozilla\Extensions
[2009.11.30 21:30:41 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\extensions
[2009.11.20 23:28:04 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
[2009.11.30 21:30:42 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.10.29 02:20:28 | 00,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.10.29 02:20:28 | 00,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.10.29 02:20:29 | 00,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.10.29 02:20:29 | 00,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.10.29 02:20:29 | 00,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: (317135 bytes) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 10878 more lines...
O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll (Orbitdownloader.com)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AVP] C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe (Kaspersky Lab)
O4 - HKLM..\Run: [ClamWin] C:\Programme\ClamWin\bin\ClamTray.exe (alch)
O4 - HKLM..\Run: [CloneCDTray] C:\Programme\SlySoft\CloneCD\CloneCDTray.exe (SlySoft, Inc.)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NBKeyScan] C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG)
O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe (Apple Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [UnlockerAssistant] C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe ()
O4 - HKLM..\Run: [WinDSL MTU-Adjust] C:\WINDOWS\System32\WinDSL_MTU.exe (Engel Technologieberatung, Entwicklung/Verkauf von Soft- und Hardware KG)
O4 - HKCU..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe (SlySoft, Inc.)
O4 - HKCU..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe (Apple Inc.)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm ()
O9 - Extra Button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll (Kaspersky Lab)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O15 - HKLM\..Trusted Domains: 57 domain(s) and sub-domain(s) not assigned to a zone.
O15 - HKCU\..Trusted Domains: 56 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll) - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\adialhk.dll (Kaspersky Lab)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O20 - Winlogon\Notify\klogon: DllName - C:\WINDOWS\system32\klogon.dll - C:\WINDOWS\system32\klogon.dll (Kaspersky Lab)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.11.28 19:53:22 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck) -  File not found
O34 - HKLM BootExecute: (*) -  File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2008.11.28 19:52:59 | 00,000,000 | ---D | M]
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found


#

madz · 03.12.2009, 03:48

2. teil otl

#

Code:

ATTFilter

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (55735494247448576)
 
========== Files/Folders - Created Within 14 Days ==========
 
[2009.12.01 03:38:33 | 00,535,552 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTL.exe
[2009.11.26 01:06:30 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Foxit
[2009.11.24 02:44:07 | 00,000,000 | ---D | C] -- C:\Programme\Microsoft Silverlight
[2009.11.24 02:42:02 | 00,000,000 | ---D | C] -- C:\Programme\Microsoft
[2009.11.24 02:34:50 | 00,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx Online\Recent
[2009.11.22 20:40:27 | 00,000,000 | ---D | C] -- C:\Programme\SIW
[2009.11.20 02:24:37 | 00,000,000 | ---D | C] -- C:\Programme\SiSoftware
[2009.11.20 01:59:13 | 00,000,000 | ---D | C] -- C:\Programme\HD Tune
[2009.08.04 13:57:36 | 75,082,408 | ---- | C] (Sony Creative Software Inc.) -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\90d_enu.exe
[2009.07.14 13:02:30 | 00,339,968 | ---- | C] (Sophos Plc) -- C:\Programme\SavResJap.dll
[2009.07.14 13:02:30 | 00,188,416 | ---- | C] (Sophos Plc) -- C:\Programme\SavResFra.dll
[2009.07.14 13:02:30 | 00,143,360 | ---- | C] (Sophos Plc) -- C:\Programme\SavResIt.dll
[2009.07.14 13:02:29 | 00,327,680 | ---- | C] (Sophos Plc) -- C:\Programme\SavResCht.dll
[2009.07.14 13:02:29 | 00,249,856 | ---- | C] (Sophos Plc) -- C:\Programme\SavResChs.dll
[2009.07.14 13:02:29 | 00,204,800 | ---- | C] (Sophos Plc) -- C:\Programme\SavResDeu.dll
[2009.07.14 13:02:29 | 00,155,648 | ---- | C] (Sophos Plc) -- C:\Programme\SavResEsp.dll
[2009.07.14 13:02:29 | 00,155,648 | ---- | C] (Sophos Plc) -- C:\Programme\SavResEng.dll
[2009.07.14 13:02:24 | 00,252,984 | ---- | C] (Sophos Plc) -- C:\Programme\Setup.exe
[2009.07.14 13:02:23 | 01,822,520 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsiW.exe
[2009.07.14 12:22:40 | 00,396,288 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\HijackThis.exe
[2009.05.11 21:30:49 | 75,082,408 | ---- | C] (Sony Creative Software Inc.) -- C:\Programme\90d_enu.exe
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 14 Days ==========
 
[2009.12.01 03:48:59 | 00,387,104 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2009.12.01 03:44:50 | 00,000,032 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2009.12.01 03:41:51 | 01,002,496 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\GMER 30.11 auf 1.12. .doc
[2009.12.01 03:39:46 | 12,320,768 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx Online\NTUSER.DAT
[2009.12.01 03:38:43 | 00,535,552 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Claudia Online\Desktop\OTL.exe
[2009.12.01 03:38:21 | 02,763,552 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.dat
[2009.12.01 00:13:55 | 00,000,210 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2009.12.01 00:12:08 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2009.12.01 00:12:05 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2009.12.01 00:12:04 | 53,639,9872 | -HS- | M] () -- C:\hiberfil.sys
[2009.12.01 00:11:06 | 00,273,608 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.idx
[2009.11.30 23:41:54 | 00,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Claudia Online\ntuser.ini
[2009.11.30 20:44:41 | 00,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2009.11.29 03:29:47 | 00,285,696 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTR Filme-Liste  28.11.09  23.48 uhr.xls
[2009.11.29 03:23:06 | 00,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2009.11.29 03:23:01 | 00,180,736 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.11.28 21:48:20 | 00,285,184 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTR Filme-Liste  28.11.09  21.48 uhr.xls
[2009.11.28 17:42:57 | 00,285,184 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTR Filme-Liste  28.11.09  17.41 uhr.xls
[2009.11.28 14:11:01 | 00,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2009.11.26 01:43:20 | 00,265,216 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Pearl 25.11.09.doc
[2009.11.25 20:57:28 | 00,022,905 | ---- | M] () -- C:\Dokumente und Einstellungen\Claudia Online\Desktop\Irrtuemer_und_Geruechte_ueber Katzen.pdf
[2009.11.24 02:49:44 | 00,045,956 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\cc_20091124_024919.reg
[2009.11.23 20:30:53 | 61,810,688 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\avira rescue image.iso
[2009.11.23 19:46:48 | 00,458,240 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\DVD BIOS  kopie REGISTRY.doc
[2009.11.23 19:46:20 | 00,167,936 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\DVD BIOS PROBS.doc
[2009.11.22 02:03:21 | 00,284,672 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTR Filme-Liste  21.11.09  20.41 uhr.xls
[2009.11.22 00:00:38 | 00,000,791 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\Verknüpfung mit msnmsgr.lnk
[2009.11.20 02:26:31 | 00,000,994 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SiSoftware Sandra Lite 2009.SP4.lnk
[2009.11.17 21:25:09 | 00,384,138 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h25m09s115.png
[2009.11.17 21:24:30 | 00,321,814 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h24m30s22.png
[2009.11.17 21:24:01 | 00,447,904 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h24m01s250.png
[2009.11.17 21:23:43 | 00,447,904 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h23m43s250.png
[2009.11.17 20:17:41 | 00,073,728 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\TV GRAU 2.doc
[2009.11.17 20:10:33 | 00,072,192 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\TV GRAU.doc
[2009.11.17 10:45:50 | 73,851,0682 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\PICT0001.MOV
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2009.12.01 03:41:51 | 01,002,496 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\GMER 30.11 auf 1.12. .doc
[2009.11.29 00:08:03 | 00,285,696 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTR Filme-Liste  28.11.09  23.48 uhr.xls
[2009.11.28 21:48:18 | 00,285,184 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTR Filme-Liste  28.11.09  21.48 uhr.xls
[2009.11.28 17:42:54 | 00,285,184 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTR Filme-Liste  28.11.09  17.41 uhr.xls
[2009.11.26 01:43:19 | 00,265,216 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\Pearl 25.11.09.doc
[2009.11.25 20:57:02 | 00,022,905 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\Irrtuemer_und_Geruechte_ueber Katzen.pdf
[2009.11.24 02:49:28 | 00,045,956 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\cc_20091124_024919.reg
[2009.11.23 20:30:34 | 61,810,688 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\avira rescue image.iso
[2009.11.23 19:46:48 | 00,458,240 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\DVD BIOS  kopie REGISTRY.doc
[2009.11.23 19:46:19 | 00,167,936 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\DVD BIOS PROBS.doc
[2009.11.23 17:02:29 | 53,639,9872 | -HS- | C] () -- C:\hiberfil.sys
[2009.11.22 00:00:38 | 00,000,791 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\Verknüpfung mit msnmsgr.lnk
[2009.11.21 20:41:54 | 00,284,672 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\OTR Filme-Liste  21.11.09  20.41 uhr.xls
[2009.11.20 02:26:31 | 00,000,994 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SiSoftware Sandra Lite 2009.SP4.lnk
[2009.11.20 02:24:57 | 11,808,768 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sandra.mda
[2009.11.20 01:57:34 | 00,286,208 | ---- | C] () -- C:\Programme\gmer.exe
[2009.11.17 21:25:09 | 00,384,138 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h25m09s115.png
[2009.11.17 21:24:30 | 00,321,814 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h24m30s22.png
[2009.11.17 21:24:01 | 00,447,904 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h24m01s250.png
[2009.11.17 21:23:43 | 00,447,904 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\vlcsnap-2009-11-17-21h23m43s250.png
[2009.11.17 20:17:41 | 00,073,728 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\TV GRAU 2.doc
[2009.11.17 20:10:33 | 00,072,192 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Eigene Dateien\TV GRAU.doc
[2009.11.17 19:55:05 | 73,851,0682 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Desktop\PICT0001.MOV
[2009.10.27 20:14:59 | 00,000,135 | ---- | C] () -- C:\WINDOWS\ppdrv.ini
[2009.08.15 21:03:14 | 00,004,757 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2009.08.11 15:44:54 | 00,000,179 | ---- | C] () -- C:\WINDOWS\muma2000.INI
[2009.08.11 15:32:10 | 00,000,094 | ---- | C] () -- C:\WINDOWS\MAGIX.ini
[2009.07.14 13:02:23 | 00,049,974 | ---- | C] () -- C:\Programme\readsavxp_76_eng.html
[2009.07.14 13:02:23 | 00,003,189 | ---- | C] () -- C:\Programme\readesavxpsa.txt
[2009.03.16 04:33:45 | 00,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.03.08 22:19:52 | 00,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2009.03.08 22:19:48 | 00,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2009.02.16 22:32:22 | 00,007,168 | ---- | C] () -- C:\WINDOWS\suecmdial.dll
[2009.02.12 05:56:41 | 00,011,568 | ---- | C] () -- C:\WINDOWS\System32\drivers\UimFIO.sys
[2009.02.12 05:56:38 | 04,244,744 | ---- | C] () -- C:\WINDOWS\System32\qtp-mt334.dll
[2009.02.12 05:56:38 | 00,247,560 | ---- | C] () -- C:\WINDOWS\System32\prgiso.dll
[2009.02.07 11:05:13 | 00,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2009.01.16 14:56:46 | 01,015,808 | ---- | C] () -- C:\WINDOWS\System32\MPEG4Evfw.dll
[2008.12.27 23:30:39 | 00,032,768 | ---- | C] () -- C:\WINDOWS\System32\UnAudioNT.dll
[2008.12.27 23:21:11 | 00,002,605 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.12.27 23:21:10 | 00,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.12.20 23:33:01 | 00,000,210 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2008.11.30 18:31:40 | 00,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.11.30 18:31:38 | 00,180,736 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx Online\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.11.28 20:35:44 | 00,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2008.11.06 17:37:32 | 03,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.11.06 17:34:00 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.11.06 17:34:00 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008.11.06 17:33:02 | 00,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[1996.04.03 20:33:26 | 00,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys
 
========== LOP Check ==========
 
[2009.07.06 16:50:09 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2009.07.12 22:56:45 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
[2009.03.21 23:58:19 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
[2008.12.20 23:33:09 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2009.07.14 13:05:39 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
[2009.02.19 15:08:35 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VideoConverter
[2009.08.14 16:13:35 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Canneverbe_Limited
[2009.07.15 11:39:35 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\cut_assistant
[2009.06.14 10:24:32 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\DataCache
[2009.06.11 09:49:47 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\EVEREST Home Edition
[2009.11.26 01:06:30 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Foxit
[2009.07.03 11:02:44 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\gtk-2.0
[2009.11.22 20:20:06 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Orbit
[2008.01.27 01:15:16 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Patch
[2009.05.11 23:50:16 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Publish Providers
[2009.05.11 23:49:40 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Sony
[2009.06.25 17:20:34 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\TeamViewer
[2009.05.11 20:46:11 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx Online\Anwendungsdaten\Unlocker
[2009.11.28 14:11:01 | 00,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.exe >
 
< %SYSTEMDRIVE%\eventlog.dll /s /md5 >
[2002.08.29 03:43:22 | 00,049,152 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
[2008.04.14 07:52:12 | 00,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 07:52:12 | 00,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %SYSTEMDRIVE%\scecli.dll /s /md5 >
[2002.08.29 03:43:30 | 00,181,248 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
[2008.04.14 07:52:24 | 00,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 07:52:24 | 00,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %SYSTEMDRIVE%\netlogon.dll /s /md5 >
[2002.08.29 03:43:26 | 00,399,360 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
[2008.04.14 07:52:20 | 00,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 07:52:20 | 00,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %SYSTEMDRIVE%\cngaudit.dll /s /md5 >
 
< %SYSTEMDRIVE%\sceclt.dll /s /md5 >
 
< %SYSTEMDRIVE%\ntelogon.dll /s /md5 >
 
< %SYSTEMDRIVE%\logevent.dll /s /md5 >
 
< %SYSTEMDRIVE%\iaStor.sys /s /md5 >
 
< %SYSTEMDRIVE%\nvstor.sys /s /md5 >
 
< %SYSTEMDRIVE%\atapi.sys /s /md5 >
[2002.08.29 01:27:50 | 00,086,912 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2008.04.14 00:10:32 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.14 00:10:32 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
 
< %SYSTEMDRIVE%\IdeChnDr.sys /s /md5 >
 
< %SYSTEMDRIVE%\viasraid.sys /s /md5 >
 
< %SYSTEMDRIVE%\AGP440.sys /s /md5 >
[2008.04.14 00:06:40 | 00,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.14 00:06:40 | 00,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< %SYSTEMDRIVE%\vaxscsi.sys /s /md5 >
 
< %SYSTEMDRIVE%\nvatabus.sys /s /md5 >
< End of report >




#

gmer logfile mache ich morgen noch ein aktuelles.

DANKE!!!!

madz

madz · 15.12.2009, 14:11

es wehrt sich!

Code:

ATTFilter

ADS-Streams could not be deleted. maybe locked by another programm 
C:\WINDOWS : 45203195861BE07A  (24 bytes)

madz · 16.12.2009, 19:57

Code:

ATTFilter

All processes killed
========== FILES ==========
Unable to delete ADS C:\WINDOWS:45203195861BE07A .
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: xxx Admin
->Temp folder emptied: 927406064 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 13689353 bytes
->FireFox cache emptied: 57061795 bytes
->Google Chrome cache emptied: 0 bytes
 
User: xxx Online
->Temp folder emptied: 212640 bytes
->Temporary Internet Files folder emptied: 37526 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 111755266 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 746 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 573013 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1138654 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 3955784 bytes
 
Total Files Cleaned = 1064,24 mb
 
 
OTL by OldTimer - Version 3.1.17.0 log created on 12162009_190312

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

ganz schön hartnäckig, das ding..

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A

Plagegeister aller Art und deren Bekämpfung: Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A