Zugriff auf Taskmanager u. Anwendungen wird blockiert, aufpoppende Alerts u. a.

Pyromir · 02.02.2010, 14:31

Moin,

Folgendes Problem:

seit heute Morgen werde ich massiv mit Windows Security alerts. Antivirus software alerts, einem automatisch aufpoppenden Windows Security Center, immer wieder startendem IE (ich nutze den stets den Fuchs) und was weiß ich nicht noch, genervt. Der IE versucht Seiten wie porno.org, newsoftspot.com, viagra-dingenskirchen etc. pp zu öffnen.

In der Fußleiste ist ein Icon zu "Antivirus Soft" aufgetaucht.

Was habe ich getan? Ich war heute morgen auf der Internetseite zeit.de unterwegs und habe ein paar Artikel gelesen, zwei Foren für tradionelles Bogenschießen besucht und einige Internetseite überprüft, die von mir/uns selbst erstellt wurden.

System? Windows XP Pro auf einen Laptop, Firefox 3.5.7, Thunderbird "irgendeine Versionsnummer" für Mails.

"Irgendeine Versionsnummer" deutet schon auf das Problem hin: Ich kann die meisten Anwendungen nicht mehr starten. Eine Warnmeldung teilt mir mit:
"Application cannot be executed. The file thunderbird.exe is infected. Do you want to activate your antivirus software now?"

Nein, will ich natürlich nicht, hier tickert AntiVir vor sich hin und ich bin mit dem Programm sehr zufrieden!

Interessanterweise kann ich den Taskmanager nicht öffnen, bzw. das Fenster schließt sich sofort (wird von der Malware geschlossen). Auch der Versuch in die Registry zu schauen scheitert kläglich. Beim regeedit Aufruf erhalte ich die Meldung "Application cannot be executed. The file regedit.exe is infected. Do you want to...." NEIN! Verflixt.

Das Feuerwerk an Alerts, sich öffnenden IE-Instanzen etc. ist schon spektakulär.

Hier im Forum habe ich schon etwas nachgelesen. Heruntergeladen habe ich bisher den Avenger (Start wird auch blockiert, entpacken war nicht so einfach machbar) und Malewarebyte's Antimalware... der Programmstart wird auch verhindert.

Was tun sprach Zeus? Vielen Dank für Eure Mühe,

Marc

p.s.: Vielleicht sollte ich noch erwähnen, das auf dem Rechner (teilweise dienstlich genutzt) Security Guard Easy werkelt.

Chris4You · 02.02.2010, 15:13

Hi,

versuche in den abgesicherten Modus zu kommen (F8 beim Booten) und dann mit MAM zu scannen.
Weiterhin:

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

Wenn das nicht funzt, dann machen wir mit CF weiter (wie sieht die Backupsituation aus?)...

Noch eine Anmerkung: Geschäftliche genutzte Rechner werden hier nicht behandelt...

chris

Pyromir · 02.02.2010, 15:25

Erstmal vielen Dank! Ich gehe vor, wie von Dir beschrieben und melde mich dann wieder, wahrscheinlich erst heute Abend.

Der Rechner ist definitiv ein privater. Ich mache aber alle paar Wochen mal einen Tag work@home und dafür müssen wir zwar die Hardware selbst stellen, aber auch in Kauf nehmen, dass Safeguard und Crypto-Zeugs für verschiedene Anwendungen installiert wird. Das hat mit der Natur der Aufträge und Auftraggeber zu tun. Ohne das Zeugs kein work@home.

Chris4You · 02.02.2010, 15:30

Hi,

wahrscheinlich haben wir es dann noch mit einem Rootkit zu tun, daher im abgesicherten Modus GMER ...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
Ps.: Nehme mal dnen Notbook für heute abend mit, solange der Akku reicht....

Pyromir · 02.02.2010, 19:04

Ahoi,

so, alles abgearbeitet. Womit fangen wir an? Am besten am Anfang. MAM ist im abgesicherten Modus durchgelaufen und hat als "Fundsache" Backdoor.Bifose" ausgeworfen. Das MAM-Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180

02.02.2010 18:10:00
mbam-log-2010-02-02 (18-09-51).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 258991
Laufzeit: 41 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\System32 (Backdoor.Bifrose) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

OTL ist ebenfalls sauber durchmarschiert. Das OTL-Log OTL.txt:

Code:

ATTFilter

OTL logfile created on: 02.02.2010 18:11:14 - Run 1
OTL by OldTimer - Version 3.1.27.1     Folder = C:\Dokumente und Einstellungen\schnau\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 700,00 Mb Available Physical Memory | 68,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55,78 Gb Total Space | 10,62 Gb Free Space | 19,04% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 152,62 Gb Total Space | 36,11 Gb Free Space | 23,66% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MMK-SCHNAU2
Current User Name: schnau
Logged in as Administrator.
 
Current Boot Mode: SafeMode with Networking
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\schnau\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\schnau\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (gupdate1c986307ae54ec) Google Update Service (gupdate1c986307ae54ec) -- C:\Programme\Google\Update\GoogleUpdate.exe (Google Inc.)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.)
SRV - (AntiVirScheduler) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
SRV - (HRService) -- C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe ()
SRV - (ANIWZCSdService) -- C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (Alpha Networks Inc.)
SRV - (TUWinStylerThemeSvc) -- C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (TuneUp Software GmbH)
SRV - (WksCfgSrv) -- C:\Programme\Utimaco\SafeGuard Easy\WksCfgSrv.exe (Utimaco Safeware AG)
SRV - (SgeCtl) -- C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe (Utimaco Safeware AG)
SRV - (Ati HotKey Poller) -- C:\WINDOWS\system32\ati2evxx.exe (ATI Technologies Inc.)
SRV - (SgLogPlayer) -- C:\WINDOWS\system32\SgLogPlayer.exe (Utimaco Safeware AG)
SRV - (NICCONFIGSVC) -- C:\Programme\Dell\NicConfigSvc\NicConfigSvc.exe (Dell Inc.)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (WLANKEEPER) -- C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe (Intel® Corporation)
SRV - (S24EventMonitor) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation )
SRV - (EvtEng) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation)
SRV - (RegSrvc) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation)
SRV - (BAsfIpM) -- C:\WINDOWS\system32\BAsfIpM.exe (Broadcom Corp.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (Norton AntiVirus Server) -- C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe (Symantec Corporation)
SRV - (DefWatch) -- C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe (Symantec Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys (Duplex Secure Ltd.)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys (Avira GmbH)
DRV - (PxHelp20) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys (Sonic Solutions)
DRV - (NAVEX15) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20071210.002\NAVEX15.SYS (Symantec Corporation)
DRV - (NAVENG) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20071210.002\NAVENG.SYS (Symantec Corporation)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (AVIRA GmbH)
DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.)
DRV - (s916mdm) -- C:\WINDOWS\system32\drivers\s916mdm.sys (MCCI Corporation)
DRV - (s916mgmt) Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\s916mgmt.sys (MCCI Corporation)
DRV - (s916obex) -- C:\WINDOWS\system32\drivers\s916obex.sys (MCCI Corporation)
DRV - (s916bus) Sony Ericsson Device 916 driver (WDM) -- C:\WINDOWS\system32\drivers\s916bus.sys (MCCI Corporation)
DRV - (s916mdfl) -- C:\WINDOWS\system32\drivers\s916mdfl.sys (MCCI Corporation)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (TUSB1150) -- C:\WINDOWS\system32\drivers\TUSB1150.sys (Texas Instruments)
DRV - (ANIO) -- C:\WINDOWS\system32\ANIO.sys (Alpha Networks Inc.)
DRV - (RT73) -- C:\WINDOWS\system32\drivers\Dr71WU.sys (Ralink Technology, Corp.)
DRV - (sfvfs02) StarForce Protection VFS Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfvfs02.sys (Protection Technology)
DRV - (SymEvent) -- C:\Programme\Symantec\SYMEVENT.SYS (Symantec Corporation)
DRV - (AegisP) AEGIS Protocol (IEEE 802.1x) -- C:\WINDOWS\system32\drivers\AegisP.sys (Meetinghouse Data Communications)
DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology)
DRV - (SgeFlt) -- C:\WINDOWS\SYSTEM32\DRIVERS\SGEFLT.SYS (Utimaco Safeware AG)
DRV - (AES-256) -- C:\WINDOWS\SYSTEM32\DRIVERS\AES256.SYS (Utimaco Safeware AG)
DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (STAC97) -- C:\WINDOWS\system32\drivers\STAC97.sys (SigmaTel, Inc.)
DRV - (ApfiltrService) -- C:\WINDOWS\system32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (APPDRV) -- C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS (Dell Inc)
DRV - (IWCA) -- C:\WINDOWS\system32\drivers\iwca.sys (Intel Corporation)
DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)
DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.)
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (bDMusicb) -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Temp\bDMusicb.sys ()
DRV - (HSFHWICH) -- C:\WINDOWS\system32\drivers\HSFHWICH.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (HSF_DP) -- C:\WINDOWS\system32\drivers\HSF_DP.sys (Conexant Systems, Inc.)
DRV - (AVMUNET) -- C:\WINDOWS\system32\drivers\avmunet.sys (AVM GmbH)
DRV - (GTIPCI21) -- C:\WINDOWS\system32\drivers\gtipci21.sys (Texas Instruments)
DRV - (mdmxsdk) -- C:\WINDOWS\system32\drivers\mdmxsdk.sys (Conexant)
DRV - (omci) -- C:\WINDOWS\system32\drivers\omci.sys (Dell Inc)
DRV - (BASFND) -- C:\WINDOWS\system32\drivers\BASFND.sys (Broadcom Corporation)
DRV - (tandpl) -- C:\WINDOWS\system32\drivers\tandpl.sys ()
DRV - (enodpl) -- C:\WINDOWS\system32\drivers\enodpl.sys ()
DRV - (NAVAPEL) -- C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Navapel.sys (Symantec Corporation)
DRV - (NAVAP) -- C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Navap.sys (Symantec Corporation)
DRV - (E100B) Intel(R) -- C:\WINDOWS\system32\drivers\e100b325.sys (Intel Corporation)
DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.)
DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation)
DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation)
DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation)
DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation)
DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.)
DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.)
DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.)
DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/at/dea/gen/default.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/at/dea/gen/default.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/at/dea/gen/default.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "http://www.google.de/"
FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.47
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.8
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.5.0
FF - prefs.js..extensions.enabledItems: firecookie@janodvarko.cz:1.0.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}:0.15
FF - prefs.js..extensions.enabledItems: silvermelxt@pardal.de:1.3.1
FF - prefs.js..extensions.enabledItems: {89736E8E-4B14-4042-8C75-AD00B6BD3900}:1.0.5
FF - prefs.js..extensions.enabledItems: zotero@chnm.gmu.edu:1.0.10
FF - prefs.js..extensions.enabledItems: {961408A3-C970-4577-970A-D97C29839A67}:1.3.1
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.01.14 18:27:34 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.01.14 18:27:34 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2009.08.21 13:41:59 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.11.29 23:52:43 | 000,000,000 | ---D | M]
 
[2008.12.12 21:54:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Extensions
[2008.12.12 21:54:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Extensions\{6334D996-EA3E-4a0e-AA8D-15BA56B37241}
[2010.02.02 08:36:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions
[2008.07.19 23:24:56 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{89736E8E-4B14-4042-8C75-AD00B6BD3900}
[2009.06.20 20:03:16 | 000,000,000 | ---D | M] (Live HTTP Headers) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}
[2009.12.24 21:46:25 | 000,000,000 | ---D | M] (Charamel) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{961408A3-C970-4577-970A-D97C29839A67}
[2010.01.16 20:54:24 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.01.30 07:53:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
[2010.01.13 19:31:13 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2010.01.20 04:45:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\firebug@software.joehewitt.com
[2010.01.13 19:31:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\firecookie@janodvarko.cz
[2009.12.24 21:46:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\silvermelxt@pardal.de
[2009.05.09 16:51:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Mozilla\Firefox\Profiles\olou6hud.default\extensions\zotero@chnm.gmu.edu
[2010.02.02 08:36:12 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.01.14 18:27:26 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.14 18:27:26 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.14 18:27:26 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.14 18:27:26 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.14 18:27:26 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2005.09.09 12:59:49 | 000,000,849 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 212.202.231.141 benntecmail
O2 - BHO: (HelperObject Class) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll (TechSmith Corporation)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (SnagIt) - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll (TechSmith Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O4 - HKLM..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe (Alpha Networks Inc.)
O4 - HKLM..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.)
O4 - HKLM..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe (D-Link)
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [owlyyhgq] C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe ()
O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\QTTask.exe (Apple Inc.)
O4 - HKLM..\Run: [vptray] C:\Programme\Symantec_Client_Security\Symantec AntiVirus\VPTray.exe (Symantec Corporation)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [owlyyhgq] C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk = C:\Programme\Digital Line Detect\DLG.exe (BVRP Software)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 83 FF FF 03  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSharedDocuments =  [binary data]
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253123535671 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1253123509671 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\biblioscape - No CLSID value found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: GinaDLL - (SGGINA.DLL) - C:\WINDOWS\System32\Sggina.dll (Utimaco Safeware AG)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\IntelWireless: DllName - C:\Programme\Intel\Wireless\Bin\LgNotify.dll - C:\Programme\Intel\Wireless\Bin\LgNotify.dll (Intel Corporation)
O20 - Winlogon\Notify\NavLogon: DllName - C:\WINDOWS\system32\NavLogon.dll - C:\WINDOWS\system32\NavLogon.dll ()
O20 - Winlogon\Notify\NotLog: DllName - SGLogEx.dll - C:\WINDOWS\System32\SGLogEx.dll (Utimaco Safeware AG)
O20 - Winlogon\Notify\SGLogNotification: DllName - SGLogNotification.dll - C:\WINDOWS\System32\SGLogNotification.dll (Utimaco Safeware AG)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.08.13 12:54:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.02.02 15:59:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\CSC
[2010.02.02 15:19:14 | 000,548,864 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\schnau\Desktop\OTL.exe
[2010.02.02 12:53:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\Malwarebytes
[2010.02.02 12:53:37 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.02.02 12:53:35 | 000,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.02.02 12:53:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.02.02 12:53:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.02.02 10:48:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw
[2010.02.01 18:12:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\vlc
[2010.01.29 18:45:56 | 000,000,000 | ---D | C] -- C:\Programme\United Soft Media
[2010.01.29 16:52:44 | 000,188,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WINGDE.DLL
[2010.01.29 16:52:44 | 000,092,208 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WING.DLL
[2010.01.29 16:52:44 | 000,012,800 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System\WING32.DLL
[2010.01.29 16:52:44 | 000,006,736 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WINGDIB.DRV
[2010.01.29 16:52:44 | 000,005,024 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WINGPAL.WND
[2010.01.29 16:52:41 | 000,000,000 | ---D | C] -- C:\Programme\BIFAB_MM
[2010.01.28 06:36:44 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\schnau\Recent
[2010.01.28 06:26:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Eigene Dateien\Downloads
[2010.01.24 16:28:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\NFS Underground 2
[2010.01.24 16:28:02 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DirectX
[2010.01.24 15:23:25 | 000,691,696 | ---- | C] (Duplex Secure Ltd.) -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.01.24 15:23:13 | 000,000,000 | ---D | C] -- C:\Programme\DAEMON Tools Lite
[2010.01.24 15:22:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\DAEMON Tools Lite
[2010.01.24 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2010.01.24 08:05:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\schnau\Eigene Dateien\SCi
[2010.01.24 07:58:49 | 000,000,000 | ---D | C] -- C:\Programme\SCi
[2009.09.28 12:39:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Temp
[2009.06.30 04:34:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.02.07 14:16:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2005.09.09 12:55:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Symantec
[2005.09.09 12:55:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2004.08.13 13:00:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2004.08.13 12:47:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2004.08.13 12:47:04 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[25 C:\Dokumente und Einstellungen\schnau\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\schnau\Eigene Dateien\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.02.02 15:59:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.02.02 15:55:58 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.02.02 15:55:56 | 006,291,456 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\NTUSER.DAT
[2010.02.02 15:55:56 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\schnau\ntuser.ini
[2010.02.02 15:48:52 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.02.02 15:19:14 | 000,548,864 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\schnau\Desktop\OTL.exe
[2010.02.02 14:44:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.02.02 12:53:40 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.02.01 18:10:55 | 000,000,691 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk
[2010.02.01 00:17:50 | 000,000,202 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.02.01 00:16:50 | 000,156,160 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.29 18:45:56 | 000,000,663 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Goldfinger IV.lnk
[2010.01.29 17:15:00 | 000,000,384 | ---- | M] () -- C:\WINDOWS\tasks\1-Click Maintenance.job
[2010.01.29 16:52:44 | 000,000,814 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\Ich lerne lesen 1.lnk
[2010.01.29 16:52:44 | 000,000,247 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.01.29 10:03:56 | 000,000,040 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2010.01.28 15:29:13 | 000,146,431 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\Unbenannt.xcf
[2010.01.28 15:29:13 | 000,009,080 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\.recently-used.xbel
[2010.01.28 06:26:56 | 000,846,521 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\regeln2006.pdf
[2010.01.24 16:25:23 | 000,001,809 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Need for Speed Underground 2.lnk
[2010.01.24 15:23:26 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.01.24 13:19:32 | 000,187,984 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\pfeile.xcf
[2010.01.24 07:58:49 | 000,000,683 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Desert Storm.lnk
[2010.01.24 00:18:56 | 000,041,472 | ---- | M] () -- C:\WINDOWS\schnau.pcb
[2010.01.23 15:44:58 | 001,139,286 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\robin_hood_8191.jpg
[2010.01.23 15:43:46 | 000,137,319 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\pfeile.jpg
[2010.01.23 15:17:06 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2010.01.21 06:10:16 | 000,000,095 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2010.01.20 18:45:47 | 000,000,017 | ---- | M] () -- C:\WINDOWS\Missing.ini
[2010.01.14 20:37:26 | 000,002,931 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2010.01.13 04:56:57 | 111,711,293 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Eigene Dateien\Typolight_Teil_04.flv
[2010.01.08 07:48:27 | 000,052,707 | ---- | M] () -- C:\Dokumente und Einstellungen\schnau\Desktop\testbild.gif
[2010.01.07 16:07:14 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.07 16:07:04 | 000,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.06 16:21:33 | 000,000,160 | ---- | M] () -- C:\WINDOWS\mathe1.ini
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[25 C:\Dokumente und Einstellungen\schnau\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\schnau\Eigene Dateien\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.02.02 15:27:34 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\avenger.exe
[2010.02.02 12:53:40 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.02.01 18:10:55 | 000,000,691 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk
[2010.01.29 18:45:56 | 000,000,663 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Goldfinger IV.lnk
[2010.01.29 16:53:24 | 000,000,814 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\Ich lerne lesen 1.lnk
[2010.01.29 16:52:44 | 000,005,195 | ---- | C] () -- C:\WINDOWS\System32\DVA.386
[2010.01.28 15:29:13 | 000,009,080 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\.recently-used.xbel
[2010.01.28 06:26:55 | 000,846,521 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\regeln2006.pdf
[2010.01.24 16:25:23 | 000,001,809 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Need for Speed Underground 2.lnk
[2010.01.24 07:58:49 | 000,000,683 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Desert Storm.lnk
[2010.01.23 16:43:51 | 000,146,431 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\Unbenannt.xcf
[2010.01.23 16:43:33 | 000,187,984 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\pfeile.xcf
[2010.01.23 15:44:58 | 001,139,286 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\robin_hood_8191.jpg
[2010.01.23 15:43:46 | 000,137,319 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\pfeile.jpg
[2010.01.20 18:45:02 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2010.01.13 04:51:43 | 111,711,293 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Eigene Dateien\Typolight_Teil_04.flv
[2010.01.08 07:48:24 | 000,052,707 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Desktop\testbild.gif
[2010.01.06 16:21:33 | 000,000,160 | ---- | C] () -- C:\WINDOWS\mathe1.ini
[2010.01.06 16:20:58 | 000,284,160 | ---- | C] () -- C:\WINDOWS\unin0407.exe
[2009.12.07 15:34:42 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\TnetWCoInst.dll
[2009.04.09 16:00:53 | 000,000,550 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Anwendungsdaten\AutoGK.ini
[2009.02.04 18:27:18 | 000,000,040 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2009.01.25 22:10:48 | 000,179,200 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.01.09 00:01:22 | 000,629,760 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.01.05 19:36:47 | 000,000,067 | ---- | C] () -- C:\WINDOWS\DVDRegionFreeLite.INI
[2008.12.14 22:37:09 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2008.11.03 21:22:49 | 000,112,688 | ---- | C] () -- C:\WINDOWS\System32\shw32.dll
[2008.08.19 23:43:35 | 000,000,058 | ---- | C] () -- C:\WINDOWS\my.ini
[2008.07.13 19:59:18 | 000,000,068 | ---- | C] () -- C:\WINDOWS\DVDRegionFree.INI
[2008.03.14 18:26:53 | 000,000,367 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2008.02.28 17:46:52 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.02.28 17:46:52 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2007.12.25 20:48:52 | 000,040,960 | ---- | C] () -- C:\WINDOWS\unS385N.dll
[2007.06.24 16:45:15 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2007.06.24 16:45:15 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2007.05.20 20:15:46 | 000,021,504 | ---- | C] () -- C:\WINDOWS\jestertb.dll
[2007.04.06 15:54:59 | 000,007,552 | ---- | C] () -- C:\WINDOWS\System32\drivers\enodpl.sys
[2007.04.06 15:54:59 | 000,004,736 | ---- | C] () -- C:\WINDOWS\System32\drivers\tandpl.sys
[2007.03.06 09:48:02 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.02.06 10:06:19 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\JJAKEn.dll
[2006.09.24 22:07:23 | 000,003,227 | ---- | C] () -- C:\WINDOWS\tm.ini
[2006.09.20 10:37:41 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2006.03.01 16:34:00 | 000,000,202 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2005.12.13 12:58:13 | 000,002,931 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2005.11.01 12:52:42 | 000,011,953 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2005.11.01 12:52:42 | 000,000,056 | RHS- | C] () -- C:\WINDOWS\System32\AB0FD8EF19.sys
[2005.10.19 09:12:40 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2005.09.14 22:13:36 | 000,156,160 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.09.13 22:30:56 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2005.09.09 15:15:31 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005.09.09 15:12:18 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2005.09.09 14:53:11 | 000,114,688 | ---- | C] () -- C:\WINDOWS\DVGRF.DLL
[2005.09.09 14:53:11 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\IMGMSGMO.dll
[2005.09.09 14:53:04 | 000,002,561 | ---- | C] () -- C:\WINDOWS\Tobit.ini
[2005.09.09 14:53:01 | 000,000,023 | ---- | C] () -- C:\WINDOWS\AVFD.INI
[2005.09.09 14:52:58 | 001,724,416 | ---- | C] () -- C:\WINDOWS\TOBITCLT.DLL
[2005.09.09 14:50:25 | 000,000,189 | -HS- | C] () -- C:\WINDOWS\ina32.ini
[2005.09.09 14:00:02 | 000,002,031 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.09.09 13:51:29 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\Iyvu9_32.dll
[2005.09.09 13:35:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\vpc32.INI
[2005.09.01 11:03:38 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.09.01 10:59:40 | 000,000,298 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2005.09.01 10:54:47 | 000,000,004 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QSLLPSVCShare
[2005.09.01 10:34:20 | 000,000,382 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2005.09.01 10:33:28 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\stac97co.dll
[2005.03.31 11:27:18 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\SGCleanLocalGPO.dll
[2005.02.22 13:01:32 | 000,024,576 | R--- | C] () -- C:\WINDOWS\System32\loaddlln.dll
[2004.08.13 23:24:57 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004.08.13 13:04:30 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004.08.13 12:51:43 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2004.08.13 12:40:26 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004.08.12 08:44:10 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\iwca.dll
[2002.07.30 10:33:00 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\NavLogon.dll
[2001.10.10 08:57:58 | 000,073,786 | ---- | C] () -- C:\WINDOWS\System32\dntvmc23.dll
[2001.10.10 08:57:58 | 000,061,497 | ---- | C] () -- C:\WINDOWS\System32\dntvm23.dll
[2001.03.07 08:02:30 | 000,229,431 | ---- | C] () -- C:\WINDOWS\System32\dnt23.dll
[1997.09.03 23:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL
[1997.09.03 23:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
[1997.09.03 23:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL
[1997.09.03 23:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
< End of report >

und das OTL-Log Extras.txt:

Code:

ATTFilter

OTL Extras logfile created on: 02.02.2010 18:11:14 - Run 1
OTL by OldTimer - Version 3.1.27.1     Folder = C:\Dokumente und Einstellungen\schnau\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 700,00 Mb Available Physical Memory | 68,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55,78 Gb Total Space | 10,62 Gb Free Space | 19,04% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 152,62 Gb Total Space | 36,11 Gb Free Space | 23,66% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MMK-SCHNAU2
Current User Name: schnau
Logged in as Administrator.
 
Current Boot Mode: SafeMode with Networking
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\FlashGet\flashget.exe" = C:\Programme\FlashGet\flashget.exe:*:Enabled:Flashget -- File not found
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour -- File not found
"C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe" = C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner -- File not found
"C:\Programme\Azureus\Azureus.exe" = C:\Programme\Azureus\Azureus.exe:*:Enabled:Azureus -- File not found
"C:\Programme\Kyodai Mahjongg 2006\kmj.exe" = C:\Programme\Kyodai Mahjongg 2006\kmj.exe:*:Enabled:Kyodai Mahjongg -- File not found
"C:\Dokumente und Einstellungen\schnau\Eigene Dateien\eclipse\eclipse.exe" = C:\Dokumente und Einstellungen\schnau\Eigene Dateien\eclipse\eclipse.exe:*:Enabled:eclipse -- File not found
"C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Temp\java_ee_sdk-5_04-windows.exe2\package\jre\bin\javaw.exe" = C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Temp\java_ee_sdk-5_04-windows.exe2\package\jre\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- File not found
"C:\Dokumente und Einstellungen\schnau\Eigene Dateien\Eclipse - 3.3 Europe\eclipse.exe" = C:\Dokumente und Einstellungen\schnau\Eigene Dateien\Eclipse - 3.3 Europe\eclipse.exe:*:Enabled:eclipse -- File not found
"C:\Programme\Java\jdk1.6.0_03\jre\bin\java.exe" = C:\Programme\Java\jdk1.6.0_03\jre\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\TmNationsForever\TmForever.exe" = C:\Programme\TmNationsForever\TmForever.exe:*:Enabled:TmForever -- File not found
"C:\Programme\Sony Ericsson\Sony Ericsson Media Manager 1.0\MediaManager.exe" = C:\Programme\Sony Ericsson\Sony Ericsson Media Manager 1.0\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.0 -- (Sony Creative Software Inc.)
"C:\Programme\EA GAMES\Die Schlacht um Mittelerde(tm)\game.dat" = C:\Programme\EA GAMES\Die Schlacht um Mittelerde(tm)\game.dat:*:Enabled:Die Schlacht um Mittelerde (tm) -- File not found
"C:\Programme\DNA\btdna.exe" = C:\Programme\DNA\btdna.exe:*:Enabled:DNA -- (BitTorrent, Inc.)
"C:\Programme\BitTorrent\bittorrent.exe" = C:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent -- File not found
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\xampp\apache\bin\apache.exe" = C:\xampp\apache\bin\apache.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\xampp\mysql\bin\mysqld.exe" = C:\xampp\mysql\bin\mysqld.exe:*:Enabled:mysqld -- ()
"C:\xampp\MercuryMail\mercury.exe" = C:\xampp\MercuryMail\mercury.exe:*:Enabled:Mercury/32 Core Processing Module v4.52 -- (David Harris)
"C:\Programme\Gemeinsame Dateien\XpressUpdate\XPressUpdate.exe" = C:\Programme\Gemeinsame Dateien\XpressUpdate\XPressUpdate.exe:*:Enabled:XPressUpdate -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Sparbuch 2009
"{043671DC-DE3A-4A5B-B7A2-34F7DF6F5523}" = Haufe iDesk-Browser
"{05B613D1-7BD6-4DFA-B54F-1758CD7D71ED}" = SQL Anywhere Studio 8
"{06BE8AFD-A8E2-4B63-BAE7-287016D16ACB}" = mSSO
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{0ECB59D5-A3FC-4D61-AD3B-6CE679B3F852}" = Java DB 10.2.2.0
"{0EFC6259-3AD8-4CD2-BC57-D4937AF5CC0E}" = Symantec AntiVirus Client
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1F528948-0E80-4C96-B455-DE4167CB1DF7}" = Energieverwaltung der internen Netzwerkkarte
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{25D24E84-64A9-40D2-85CF-540B1C4A6D52}" = Broadcom ASF Management Applications
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 11
"{2B7E4354-0492-460A-BDB1-1F59EE141025}" = AirPlus G
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{32A3A4F4-B792-11D6-A78A-00B0D0160030}" = Java(TM) SE Development Kit 6 Update 3
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B7458C7-3F03-4415-AC39-D51EDEACDCCC}" = Steuer 2007
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{3F92ABBB-6BBF-11D5-B229-002078017FBF}" = NetWaiting
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4360BB46-507E-4361-8DCB-4FF9BDC9907B}" = SnagIt 7
"{49D687E5-6784-431B-A0A2-2F23B8CC5A1B}" = mHlpDell
"{4C590030-7469-453E-8589-D15DA9D03F52}" = ANIWZCS2 Service
"{536521E3-389A-41B2-82E5-F61B95957CDF}" = SafeGuard® Easy 4.11.0
"{5B09BD67-4C99-46A1-8161-B7208CE18121}" = QuickTime
"{5C72622B-643D-4296-B57D-5D53D0C68509}" = Sony Ericsson Media Manager 1.0
"{64A77F14-0E08-4A97-A859-E93CFF428756}" = Broadcom Advanced Control Suite 2
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A}" = mCore
"{6FFFE74E-3FBD-4E2E-97F9-5E9A2A077626}" = mIWCA
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7B5CE976-C7A9-4E38-A7F3-6C8EF025DD8E}" = ANIO Service
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7F142D56-3326-11D5-B229-002078017FBF}" = Modem Helper
"{868D7896-99D4-4513-BC62-2B3AD3E24926}" = TuneUp Utilities 2006
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8B79684C-6DAC-438C-8F30-10DF65C2068F}" = Samsung Digital Camera
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8FE54D21-8254-4CCF-AEE0-066496AE43F4}" = Delta Force - Black Hawk Down
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{909F8EBC-EC7F-48FF-0085-475D818F0F31}" = Need for Speed Underground 2
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{99EB30EB-D089-4DD5-8110-B8F3F10D1953}" = Steuer Update 14.01
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver
"{9FB2CE8C-E86C-4368-B3C9-F472898F926E}" = Desert Storm
"{A30B27FF-8C79-424A-89B4-43AD712A41ED}" = Steuer 2005
"{A4E86B6A-6EEC-41FD-8960-26947F0E3353}" = Haufe iDesk-Service
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-1033-F400-7760-000000000001}" = Adobe Acrobat 6.0 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B535B621-5559-11DE-A7A1-005056806466}" = Google Earth Plugin
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}" = Apple Software Update
"{C5074CC4-0E26-4716-A307-960272A90040}" = QuickSet
"{CA9BAADB-C262-4E05-B2E2-CEE8CE9809EC}" = mToolkit
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC016F21-3970-11DE-B878-005056806466}" = Google Earth
"{E646DCF0-5A68-11D5-B229-002078017FBF}" = Digital Line Detect
"{E7608BA7-DD9E-44BF-864F-7F00DDB221C9}" = Goldfinger
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Alt-N ComAgent" = Alt-N ComAgent
"AntiVir PersonalEdition Classic" = Avira AntiVir Personal - Free Antivirus
"AnyDVD" = AnyDVD
"ATI Display Driver" = ATI Display Driver
"CNXT_MODEM_PCI_VEN_8086&DEV_24x6&SUBSYS_542214F1" = Conexant D110 MDC V.9x Modem
"Defraggler" = Defraggler
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DVD Shrink_is1" = DVD Shrink 3.2
"ffdshow_is1" = ffdshow [rev 1685] [2007-12-06]
"FileZilla" = FileZilla (remove only)
"FileZilla Client" = FileZilla Client 3.3.0.1
"FLV-Media Player" = FLV-Media Player 1.8
"HaaliMkx" = Haali Media Splitter
"HaufeReader" = HaufeReader
"Ich lerne lesen 1" = Ich lerne lesen 1
"ImgBurn" = ImgBurn
"Indeo® software" = Indeo® software
"InstallShield_{25D24E84-64A9-40D2-85CF-540B1C4A6D52}" = Broadcom ASF Management Applications
"InstallShield_{2B7E4354-0492-460A-BDB1-1F59EE141025}" = AirPlus G
"InstallShield_{64A77F14-0E08-4A97-A859-E93CFF428756}" = Broadcom Advanced Control Suite 2
"IrfanView" = IrfanView (remove only)
"IZArc 3.4.1.5_is1" = IZArc 3.4.1.5
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"Mozilla Thunderbird (2.0.0.23)" = Mozilla Thunderbird (2.0.0.23)
"Mp3tag" = Mp3tag v2.44
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"Notepad++" = Notepad++
"Office8.0" = Microsoft Office 97, Professional Edition
"ProInst" = Intel(R) PROSet/Wireless Software
"RealAlt_is1" = Real Alternative 1.48
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
"ST6UNST #1" = Schulungsdatenbank
"ST6UNST #2" = FuE
"ToolBookInstructor80" = ToolBook II Instructor 8.1
"Visual Studio 6.0 Enterprise Edition (deu)" = Microsoft Visual Studio 6.0 Enterprise Edition (Deutsch)
"VLC media player" = VLC media player 1.0.5
"WebPost" = Microsoft Web Publishing Wizard 1.53
"Winamp" = Winamp (nur entfernen)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = GIMP 2.6.6
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xampp" = XAMPP 1.6.8
"xp-AntiSpy" = xp-AntiSpy 3.94-1
"XviD MPEG4 Video Codec" = XviD MPEG4 Video Codec (remove only)
"XviD_is1" = XviD MPEG-4 Video Codec
"Zählen und Ordnen" = Zählen und Ordnen
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"BitTorrent DNA" = DNA
"Dropbox" = Dropbox
"Javalone - teh pwn Abalone" = Javalone - teh pwn Abalone
 
========== Last 10 Event Log Errors ==========
 
[ System Events ]
Error - 02.02.2010 10:59:43 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 10:59:43 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:00:01 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 02.02.2010 11:00:22 | Computer Name = MMK-SCHNAU2 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   APPDRV  avgio  avipbb  ElbyCDIO  Fips  intelppm  sptd  ssmdrv
 
Error - 02.02.2010 11:01:37 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:01:37 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:01:37 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:14:23 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:14:23 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "MSIServer"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {000C101C-0000-0000-C000-000000000046}
 
Error - 02.02.2010 11:15:33 | Computer Name = MMK-SCHNAU2 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
 
< End of report >

Auweiha, viel Zeug

Dann haben wir noch den Output von GMER. Hier war mir nicht ganz klar, an welcher Stelle Fragen zu verneinen waren, da kam keine Frage. GMER startet auch direkt im Reiter "rootkit/malware". Der erste Output ist:

Code:

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-02-02 18:52:57
Windows 5.1.2600 Service Pack 2
Running: fxi0k6gd.exe; Driver: C:\DOKUME~1\schnau\LOKALE~1\Temp\kwlcaaog.sys


---- Disk sectors - GMER 1.0.15 ----

Disk  \Device\Harddisk0\DR0  sector 00: rootkit-like behavior; 

---- EOF - GMER 1.0.15 ----

Nach dem erneuten Scan via "rootkit/Malware"-Reiter gab es folgendes Ergebnis:

Code:

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-02 19:00:12
Windows 5.1.2600 Service Pack 2
Running: fxi0k6gd.exe; Driver: C:\DOKUME~1\schnau\LOKALE~1\Temp\kwlcaaog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                              SGEFLT.SYS (PnP Disk Filter Driver/Utimaco Safeware AG)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                              SGEFLT.SYS (PnP Disk Filter Driver/Utimaco Safeware AG)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                              SGEFLT.SYS (PnP Disk Filter Driver/Utimaco Safeware AG)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x79 0x89 0x41 0x6A ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x70 0x89 0xC5 0xBC ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x7C 0xFE 0x04 0x90 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x85 0xF5 0xCD 0x37 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x70 0x89 0xC5 0xBC ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x7C 0xFE 0x04 0x90 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x3F 0xE2 0x89 0x55 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x70 0x89 0xC5 0xBC ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x7C 0xFE 0x04 0x90 ...

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                                               sector 00: rootkit-like behavior; 

---- EOF - GMER 1.0.15 ----

Öfff, viel Zeug, sorry.

Gruß
Marc

Chris4You · 02.02.2010, 20:57

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe
C:\WINDOWS\unin0407.exe
C:\WINDOWS\jestertb.dll
C:\WINDOWS\System32\JJAKEn.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe

Folders to delete:
C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O4 - HKCU..\Run: [owlyyhgq] C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;

Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Achtung! Vista und Win7-User müssen mbr.exe als "Administrator"
ausführen. Dazu muss die Console mit Adminrechten ausgestattet sein,
am Besten einen Link auf dem Desktop wie folgt erstellen:
Rechtsklick auf den Desktop, Neu-Verknüpfung erstellen, Ziel:
C:\Windows\System32\cmd.exe Name eingeben, Fertig.
Dann Rechtsklick auf die neu erstellte Verknüpfung und "Ausführen als
Administrator" auswählen, UAC und wie oben beschrieben in das
Verzeichnis wechseln und mbr.exe starten.

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

chris

Lobby · 02.02.2010, 21:38

Also ich habe das gleiche Problem und habe sowohl die OTL als auch die GMER Logs schon dabei. Vielleicht kann mir ja auch geholfen werden.

Hier erst einmal GMER

Code:

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-02 21:22:41
Windows 5.1.2600 Service Pack 3
Running: tdbz7je5.exe; Driver: H:\DOKUME~1\Johannes\LOKALE~1\Temp\uftdrfog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text   H:\WINDOWS\system32\drivers\edwzhaas.sys  section is writeable [0xF7648000, 0x2F40, 0xEC000040]
.reloc  H:\WINDOWS\system32\drivers\edwzhaas.sys  section is executable [0xF764EE60, 0x1E60, 0xEE000040]
?       H:\WINDOWS\system32\drivers\edwzhaas.sys  Zugriff verweigert

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs                    edwzhaas.sys
Device  \FileSystem\RAW \Device\RawTape           edwzhaas.sys
Device  \FileSystem\RAW \Device\RawDisk           edwzhaas.sys
Device  \FileSystem\RAW \Device\RawCdRom          edwzhaas.sys
Device  \FileSystem\Cdfs \Cdfs                    edwzhaas.sys

---- EOF - GMER 1.0.15 ----

Und hier die beiden OTL
OTL normal

Code:

ATTFilter

OTL logfile created on: 02.02.2010 19:46:41 - Run 1
OTL by OldTimer - Version 3.1.27.1     Folder = H:\Dokumente und Einstellungen\Johannes\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 84,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 97,00% Paging File free
Paging file location(s): H:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = H: | %SystemRoot% = H:\WINDOWS | %ProgramFiles% = H:\Programme
C: Drive not present or media not loaded
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 465,75 Gb Total Space | 409,47 Gb Free Space | 87,92% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
 
Computer Name: NIX-69981CA297D
Current User Name: Johannes
Logged in as Administrator.
 
Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Processes (SafeList) ==========
 
PRC - [2010.02.02 19:23:08 | 000,548,864 | ---- | M] (OldTimer Tools) -- H:\Dokumente und Einstellungen\Johannes\Eigene Dateien\Downloads\OTL.exe
PRC - [2010.01.07 03:07:37 | 000,908,248 | ---- | M] (Mozilla Corporation) -- H:\Programme\Mozilla Firefox\firefox.exe
PRC - [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- H:\WINDOWS\explorer.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.02.02 19:23:08 | 000,548,864 | ---- | M] (OldTimer Tools) -- H:\Dokumente und Einstellungen\Johannes\Eigene Dateien\Downloads\OTL.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (WMPNetworkSvc)
SRV - [2010.01.02 17:03:21 | 000,182,768 | ---- | M] (Google) [On_Demand | Stopped] -- H:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc)
SRV - [2009.10.27 16:04:08 | 000,031,744 | ---- | M] () [Auto | Stopped] -- H:\WINDOWS\system32\mssrv32.exe -- (msupdate)
SRV - [2009.10.27 09:26:36 | 000,657,408 | ---- | M] (Nokia) [On_Demand | Stopped] -- H:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2009.08.05 21:48:42 | 000,704,864 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- H:\Programme\Windows Live\Family Safety\fsssvc.exe -- (fsssvc)
SRV - [2009.07.25 04:23:10 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) [Auto | Stopped] -- H:\Programme\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009.07.18 11:31:39 | 000,133,104 | ---- | M] (Google Inc.) [Auto | Stopped] -- H:\Programme\Google\Update\GoogleUpdate.exe -- (gupdate) Google Update Service (gupdate)
SRV - [2009.03.17 13:24:06 | 000,161,632 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- H:\Programme\Microsoft LifeCam\MSCamS32.exe -- (MSCamSvc)
SRV - [2009.01.14 16:53:02 | 000,226,656 | ---- | M] (Microsoft Corp.) [Auto | Stopped] -- H:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe -- (SeaPort)
SRV - [2008.06.24 15:05:56 | 000,537,896 | ---- | M] (Nero AG) [On_Demand | Stopped] -- H:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2008.06.08 08:31:04 | 000,877,864 | ---- | M] (Nero AG) [Auto | Stopped] -- H:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe -- (Nero BackItUp Scheduler 3)
SRV - [2008.03.19 16:04:00 | 000,155,716 | ---- | M] (NVIDIA Corporation) [Auto | Stopped] -- H:\WINDOWS\system32\nvsvc32.exe -- (NVSvc)
SRV - [2006.12.19 09:30:26 | 000,081,920 | ---- | M] (Prolific Technology Inc.) [Auto | Stopped] -- H:\WINDOWS\system32\IoctlSvc.exe -- (PLFlash DeviceIoControl Service)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.11.14 01:49:00 | 000,043,528 | ---- | M] (Sonic Solutions) [Kernel | Boot | Running] -- H:\WINDOWS\System32\Drivers\PxHelp20.sys -- (PxHelp20)
DRV - [2009.10.31 15:49:44 | 000,040,128 | ---- | M] () [Kernel | Boot | Running] -- H:\WINDOWS\System32\Drivers\edwzhaas.sys -- (edwzhaas)
DRV - [2009.08.05 21:48:42 | 000,054,752 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Stopped] -- H:\WINDOWS\system32\drivers\fssfltr_tdi.sys -- (fssfltr)
DRV - [2009.03.17 13:24:08 | 001,964,816 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\VX3000.sys -- (VX3000)
DRV - [2009.02.09 07:37:48 | 000,007,808 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2008.08.06 16:12:10 | 004,755,968 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008.04.14 13:00:00 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008.04.14 13:00:00 | 000,020,480 | ---- | M] (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\secdrv.sys -- (Secdrv)
DRV - [2008.04.14 13:00:00 | 000,017,792 | ---- | M] (Parallel Technologies, Inc.) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\ptilink.sys -- (Ptilink)
DRV - [2008.04.13 23:15:38 | 000,026,112 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\usbser.sys -- (usbser)
DRV - [2008.04.13 23:15:14 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2008.03.19 16:04:00 | 007,086,240 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2008.01.03 21:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007.12.11 13:30:08 | 000,030,880 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA)
DRV - [2007.10.12 15:53:10 | 000,013,312 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\nvsmu.sys -- (nvsmu)
DRV - [2006.12.11 20:02:24 | 000,016,768 | ---- | M] (BIOSTAR Group) [Kernel | System | Stopped] -- H:\WINDOWS\system32\drivers\BS_I2cIo.sys -- (BS_I2cIo)
DRV - [2006.07.01 22:30:28 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Stopped] -- H:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2005.03.16 07:23:54 | 000,013,696 | R--- | M] (BIOSTAR Group) [Kernel | System | Stopped] -- H:\WINDOWS\system32\drivers\BIOS.sys -- (BIOS)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Bing"
FF - prefs.js..browser.search.defaulturl: "http://www.bing.com/search?FORM=IEFM1&q="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.6.5
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3971
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546
FF - prefs.js..keyword.URL: "http://www.bing.com/search?FORM=IEFM1&q="
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\bkmrksync@nokia.com: H:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: H:\Programme\Mozilla Firefox\components [2010.01.28 18:42:53 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: H:\Programme\Mozilla Firefox\plugins [2010.01.30 20:06:29 | 000,000,000 | ---D | M]
 
[2009.07.15 23:50:56 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Extensions
[2010.02.01 20:39:17 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\extensions
[2009.09.20 17:27:23 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2009.11.20 10:27:45 | 000,000,000 | ---D | M] (DownloadHelper) -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2009.08.28 20:56:20 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\extensions\moveplayer@movenetworks.com
[2009.09.24 15:15:28 | 000,002,171 | ---- | M] () -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Mozilla\Firefox\Profiles\bw2b09oy.default\searchplugins\bing.xml
[2010.02.02 19:46:00 | 000,000,000 | ---D | M] -- H:\Programme\Mozilla Firefox\extensions
[2010.01.07 03:07:41 | 000,001,392 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.07 03:07:41 | 000,002,344 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.07 03:07:41 | 000,006,805 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.07 03:07:41 | 000,001,178 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.07 03:07:41 | 000,000,801 | ---- | M] () -- H:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 13:00:00 | 000,000,820 | ---- | M]) - H:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - H:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll (Microsoft Corp.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - H:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.)
O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - H:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - H:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - H:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - H:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - H:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Alcmtr] H:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [kfawkcue] H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe ()
O4 - HKLM..\Run: [LifeCam] H:\Programme\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation)
O4 - HKLM..\Run: [MS Virtual CLS] H:\WINDOWS\system32\msvmcls64.exe (YI58qmie7)
O4 - HKLM..\Run: [NBKeyScan] H:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] H:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] H:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] H:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] H:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [RTHDCPL] H:\WINDOWS\RTHDCPL.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [TkBellExe] H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [VX3000] H:\WINDOWS\vVX3000.exe (Microsoft Corporation)
O4 - HKCU..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] H:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe (Nero AG)
O4 - HKCU..\Run: [kfawkcue] H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe ()
O4 - HKCU..\Run: [swg] H:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O8 - Extra context menu item: Google Sidewiki... - H:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll (Google Inc.)
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - H:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui (Microsoft Corporation)
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - H:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui (Microsoft Corporation)
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - H:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - H:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: TaskMan - (H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe) - H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe (hAoWysDM0)
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-0970692394-9377730363-250308854-1723\windll.exe) - H:\RECYCLER\S-1-5-21-0970692394-9377730363-250308854-1723\windll.exe ()
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-0306697856-3225491246-342326368-7839\winncr.exe) - H:\RECYCLER\S-1-5-21-0306697856-3225491246-342326368-7839\winncr.exe ()
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-4895193801-6044875340-930976398-7121\windll.exe) - H:\RECYCLER\S-1-5-21-4895193801-6044875340-930976398-7121\windll.exe ()
O20 - HKCU Winlogon: Shell - (H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe) - H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe ()
O20 - HKCU Winlogon: Shell - (explorer.exe) - H:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe) - H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe (hAoWysDM0)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{6fbbe995-cb96-11de-9efb-00e04dc6ed69}\Shell\AutoRun\command - "" = hx.exe
O33 - MountPoints2\{6fbbe995-cb96-11de-9efb-00e04dc6ed69}\Shell\open\Command - "" = hx.exe
O33 - MountPoints2\{6fbbe996-cb96-11de-9efb-00e04dc6ed69}\Shell\AutoRun\command - "" = hx.exe
O33 - MountPoints2\{6fbbe996-cb96-11de-9efb-00e04dc6ed69}\Shell\open\Command - "" = hx.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.02.02 18:28:45 | 000,000,000 | ---D | C] -- H:\Programme\Trend Micro
[2010.02.02 00:32:28 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv
[2010.01.31 22:15:05 | 000,000,000 | ---D | C] -- H:\Programme\Gemeinsame Dateien\Symantec Shared
[2010.01.31 20:02:26 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
[2010.01.31 20:02:26 | 000,000,000 | ---D | C] -- H:\WINDOWS\System32\drivers\NSS
[2010.01.31 20:02:26 | 000,000,000 | ---D | C] -- H:\Programme\Norton Security Scan
[2010.01.31 20:02:26 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
[2010.01.31 20:02:26 | 000,000,000 | ---D | C] -- H:\WINDOWS\System32\drivers\NSS\0203000.02C
[2010.01.31 20:02:25 | 000,000,000 | ---D | C] -- H:\Programme\NortonInstaller
[2010.01.31 20:02:25 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
[2010.01.30 20:06:57 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\DivX
[2010.01.30 20:02:04 | 001,628,920 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxsfs.dll
[2010.01.30 20:02:04 | 000,551,672 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\px.dll
[2010.01.30 20:02:04 | 000,518,904 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxdrv.dll
[2010.01.30 20:02:04 | 000,379,640 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxwave.dll
[2010.01.30 20:02:04 | 000,187,128 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxmas.dll
[2010.01.30 20:02:04 | 000,129,784 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxafs.dll
[2010.01.30 20:02:04 | 000,120,056 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxcpyi64.exe
[2010.01.30 20:02:04 | 000,118,520 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxinsi64.exe
[2010.01.30 20:02:04 | 000,088,824 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\vxblock.dll
[2010.01.30 20:02:04 | 000,072,440 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxhpinst.exe
[2010.01.30 20:02:04 | 000,066,296 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxcpya64.exe
[2010.01.30 20:02:04 | 000,064,760 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\pxinsa64.exe
[2010.01.30 20:02:04 | 000,043,528 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\drivers\PxHelp20.sys
[2010.01.30 20:02:04 | 000,009,464 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\drivers\cdralw2k.sys
[2010.01.30 20:02:04 | 000,009,336 | ---- | C] (Sonic Solutions) -- H:\WINDOWS\System32\drivers\cdr4_xp.sys
[2010.01.30 20:01:47 | 000,000,000 | ---D | C] -- H:\Programme\Gemeinsame Dateien\DivX Shared
[2009.12.19 16:32:46 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.11.26 16:11:36 | 000,079,360 | RHS- | C] (hAoWysDM0) -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe
[2009.07.18 11:36:00 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.07.18 11:31:45 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2009.07.15 22:59:58 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.07.15 22:57:49 | 000,000,000 | --SD | M] -- H:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2009.07.15 22:57:49 | 000,000,000 | --SD | M] -- H:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
 
========== Files - Modified Within 30 Days ==========
 
[2010.02.02 19:45:09 | 000,002,048 | --S- | M] () -- H:\WINDOWS\bootstat.dat
[2010.02.02 19:24:55 | 000,000,006 | -H-- | M] () -- H:\WINDOWS\tasks\SA.DAT
[2010.02.02 19:24:54 | 003,670,016 | ---- | M] () -- H:\Dokumente und Einstellungen\Johannes\NTUSER.DAT
[2010.02.02 19:24:54 | 000,000,190 | -HS- | M] () -- H:\Dokumente und Einstellungen\Johannes\ntuser.ini
[2010.02.02 19:24:41 | 003,242,954 | -H-- | M] () -- H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.02.02 18:53:05 | 001,071,732 | ---- | M] () -- H:\WINDOWS\System32\PerfStringBackup.INI
[2010.02.02 18:53:05 | 000,459,932 | ---- | M] () -- H:\WINDOWS\System32\perfh007.dat
[2010.02.02 18:53:05 | 000,442,074 | ---- | M] () -- H:\WINDOWS\System32\perfh009.dat
[2010.02.02 18:53:05 | 000,085,232 | ---- | M] () -- H:\WINDOWS\System32\perfc007.dat
[2010.02.02 18:53:05 | 000,071,758 | ---- | M] () -- H:\WINDOWS\System32\perfc009.dat
[2010.02.02 18:48:59 | 000,001,088 | ---- | M] () -- H:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.02.02 18:48:58 | 000,160,101 | ---- | M] () -- H:\WINDOWS\System32\nvapps.xml
[2010.02.02 18:48:46 | 000,000,464 | ---- | M] () -- H:\WINDOWS\tasks\Norton Security Scan for Johannes.job
[2010.02.02 18:28:59 | 000,001,698 | ---- | M] () -- H:\Dokumente und Einstellungen\Johannes\Desktop\HijackThis.lnk
[2010.02.02 10:41:00 | 000,001,092 | ---- | M] () -- H:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.01.31 20:02:28 | 000,000,951 | ---- | M] () -- H:\Dokumente und Einstellungen\All Users\Desktop\Norton Security Scan.lnk
[2010.01.31 20:02:26 | 000,000,172 | ---- | M] () -- H:\WINDOWS\System32\drivers\NSS\0203000.02C\isolate.ini
[2010.01.31 16:51:08 | 003,670,016 | ---- | M] () -- H:\Dokumente und Einstellungen\Johannes\NTUSER.DAT.rdbkp
 
========== Files Created - No Company Name ==========
 
[2010.02.02 18:28:45 | 000,001,698 | ---- | C] () -- H:\Dokumente und Einstellungen\Johannes\Desktop\HijackThis.lnk
[2010.01.31 20:02:28 | 000,000,464 | ---- | C] () -- H:\WINDOWS\tasks\Norton Security Scan for Johannes.job
[2010.01.31 20:02:27 | 000,000,951 | ---- | C] () -- H:\Dokumente und Einstellungen\All Users\Desktop\Norton Security Scan.lnk
[2010.01.31 20:02:26 | 000,000,172 | ---- | C] () -- H:\WINDOWS\System32\drivers\NSS\0203000.02C\isolate.ini
[2009.11.20 22:49:55 | 000,070,656 | RHS- | C] () -- H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe
[2009.11.04 17:14:10 | 000,159,744 | ---- | C] () -- H:\WINDOWS\System32\xvidvfw.dll
[2009.11.04 17:14:09 | 000,561,152 | ---- | C] () -- H:\WINDOWS\System32\xvidcore.dll
[2009.11.04 17:14:09 | 000,135,168 | ---- | C] () -- H:\WINDOWS\System32\DVDIFOFilter.dll
[2009.10.31 15:49:44 | 000,040,128 | ---- | C] () -- H:\WINDOWS\System32\drivers\edwzhaas.sys
[2009.09.22 15:59:48 | 000,015,498 | ---- | C] () -- H:\WINDOWS\VX3000.ini
[2009.09.22 15:46:23 | 000,002,512 | ---- | C] () -- H:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.09.09 20:47:32 | 000,009,728 | ---- | C] () -- H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.08.31 17:25:56 | 000,027,648 | ---- | C] () -- H:\WINDOWS\System32\AVSredirect.dll
[2009.08.02 14:19:14 | 000,000,069 | ---- | C] () -- H:\WINDOWS\NeroDigital.ini
[2009.07.18 18:18:26 | 000,000,141 | ---- | C] () -- H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.07.16 14:16:04 | 000,000,048 | ---- | C] () -- H:\WINDOWS\ChssBase.ini
[2009.07.16 14:07:44 | 000,003,718 | ---- | C] () -- H:\WINDOWS\BWORKS95.INI
[2009.07.16 13:07:40 | 000,291,840 | ---- | C] () -- H:\Programme\Gemeinsame Dateien\PCSBoff.exe
[2009.07.16 13:07:40 | 000,090,112 | ---- | C] () -- H:\Programme\Gemeinsame Dateien\PCSBclean.exe
[2009.07.15 23:33:41 | 000,000,022 | ---- | C] () -- H:\WINDOWS\exchng.ini
[2009.07.15 23:33:40 | 000,000,634 | ---- | C] () -- H:\WINDOWS\ODBC.INI
[2008.03.19 16:04:00 | 001,703,936 | ---- | C] () -- H:\WINDOWS\System32\nvwdmcpl.dll
[2008.03.19 16:04:00 | 001,486,848 | ---- | C] () -- H:\WINDOWS\System32\nview.dll
[2008.03.19 16:04:00 | 001,019,904 | ---- | C] () -- H:\WINDOWS\System32\nvwimg.dll
[2008.03.19 16:04:00 | 000,466,944 | ---- | C] () -- H:\WINDOWS\System32\nvshell.dll
[2008.03.19 16:04:00 | 000,286,720 | ---- | C] () -- H:\WINDOWS\System32\nvnt4cpl.dll
[1997.09.03 23:00:00 | 000,031,232 | ---- | C] () -- H:\WINDOWS\System32\XLREC.DLL
[1997.09.03 23:00:00 | 000,025,600 | ---- | C] () -- H:\WINDOWS\System32\RECNCL.DLL
[1997.09.03 23:00:00 | 000,022,016 | ---- | C] () -- H:\WINDOWS\System32\ODBCSTF.DLL
[1997.09.03 23:00:00 | 000,022,016 | ---- | C] () -- H:\WINDOWS\System32\DOCOBJ.DLL
[1997.09.03 23:00:00 | 000,012,288 | ---- | C] () -- H:\WINDOWS\System32\VADE232.DLL
[1997.09.03 23:00:00 | 000,012,288 | ---- | C] () -- H:\WINDOWS\System32\HLINKPRX.DLL
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 699351 bytes -> H:\WINDOWS\Temp:temp
< End of report >

Und Extras

Code:

ATTFilter

OTL Extras logfile created on: 02.02.2010 19:46:41 - Run 1
OTL by OldTimer - Version 3.1.27.1     Folder = H:\Dokumente und Einstellungen\Johannes\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 84,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 97,00% Paging File free
Paging file location(s): H:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = H: | %SystemRoot% = H:\WINDOWS | %ProgramFiles% = H:\Programme
C: Drive not present or media not loaded
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 465,75 Gb Total Space | 409,47 Gb Free Space | 87,92% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
 
Computer Name: NIX-69981CA297D
Current User Name: Johannes
Logged in as Administrator.
 
Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- H:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "H:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "H:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
http [open] -- "H:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
https [open] -- "H:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "H:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "H:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "H:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "H:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"H:\Programme\MSN Messenger\livecall.exe" = H:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone) -- File not found
"H:\Programme\Windows Live\Messenger\wlcsdk.exe" = H:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"H:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = H:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"H:\Programme\RadioRipper\RadioRipper.exe" = H:\Programme\RadioRipper\RadioRipper.exe:*:Enabled:RadioRipper -- ( )
"H:\Programme\Microsoft LifeCam\LifeCam.exe" = H:\Programme\Microsoft LifeCam\LifeCam.exe:*:Enabled:LifeCam.exe -- (Microsoft Corporation)
"H:\Programme\Microsoft LifeCam\LifeEnC2.exe" = H:\Programme\Microsoft LifeCam\LifeEnC2.exe:*:Enabled:LifeEnC2.exe -- (Microsoft Corporation)
"H:\Programme\Microsoft LifeCam\LifeExp.exe" = H:\Programme\Microsoft LifeCam\LifeExp.exe:*:Enabled:LifeExp.exe -- (Microsoft Corporation)
"H:\Programme\Microsoft LifeCam\LifeTray.exe" = H:\Programme\Microsoft LifeCam\LifeTray.exe:*:Enabled:LifeTray.exe -- (Microsoft Corporation)
"H:\Programme\MSN Messenger\livecall.exe" = H:\Programme\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone) -- File not found
"H:\Programme\Windows Live\Messenger\wlcsdk.exe" = H:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"H:\Programme\Windows Live\Sync\WindowsLiveSync.exe" = H:\Programme\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync -- (Microsoft Corporation)
"H:\Programme\Skype\Phone\Skype.exe" = H:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{135D3939-F9CD-4520-A008-9C4B852A2DBC}" = OneCare Advisor (Windows Live Toolbar)
"{13AD0F5B-FF8C-4625-851D-A83D4BE74716}" = Smart Menus (Windows Live Toolbar)
"{151ACDE2-C3AC-43AA-A77E-12A5D8B2A934}" = Popupblocker (Windows Live Toolbar)
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{195FF80D-6C1E-4B7A-A48E-45C0AEAC0F24}" = Microsoft LifeCam
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{22B099A6-55E1-4605-8401-05564320101C}" = Windows Live Outlook-Toolbar (Windows Live Toolbar)
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 15
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3A75BDE6-418E-4DB9-8601-C9E5225E0059}" = Feederkennung (Windows Live Toolbar)
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}" = Skype web features
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5D26BF7B-BEF6-477D-8FC1-0C1C159B6364}_is1" = Quicksys RegDefrag 2.3
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{6266BA75-45FA-4B1A-B21F-E04A90C273E5}" = Windows Live Toolbar-Erweiterung (Windows Live Toolbar)
"{664C3BDC-1BCF-4EA6-A127-E61430501031}" = Nero 8 Essentials
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6E0352EE-6F0D-4FBC-B1B8-4FF032C78BE0}" = PC Connectivity Solution
"{70B7A167-0B88-445D-A3EA-97C73AA88CAC}" = Windows Live Toolbar
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{7B08D306-7266-4647-A926-2F78817ED1E0}" = Microsoft Corporation
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{994223F3-A99B-4DDD-9E1D-0190A17C6860}" = Windows Live Family Safety
"{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}" = Microsoft Search Enhancement Pack
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.2 - Deutsch
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C084BC61-E537-11DE-8616-005056806466}" = Google Earth
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{DA2C339B-A405-439B-AD24-07765EF9F233}" = Browsen mit Registerkarten (Windows Live Toolbar)
"{DCE65B11-710D-4C54-9DE5-1A6A0BD2186B}" = Windows Live Favorites für Windows Live Toolbar
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E8626A59-FD0E-449C-A23A-C52FC0733629}" = BIOS Update
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"3B18191663CDFABAA2A93D4267E54D683153FF60" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (05/27/2006 1.3.2.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"DesignCAD Pro 2000" = DesignCAD Pro 2000
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Free FLV to MP3 Converter_is1" = Free FLV to MP3 Converter
"HijackThis" = HijackThis 2.0.2
"IrfanView" = IrfanView (remove only)
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NSS" = Norton Security Scan
"NVIDIA Drivers" = NVIDIA Drivers
"Office8.0" = Microsoft Office 97, Professional Edition
"RealPlayer 12.0" = RealPlayer
"Revo Uninstaller" = Revo Uninstaller 1.83
"SUPER ©" = SUPER © Version 2009.bld.36 (June 10, 2009)
"Sweepi_is1" = Sweepi 5.4.00
"VLC media player" = VLC media player 1.0.1
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01007" = Microsoft User-Mode Driver Framework Feature Pack 1.7
"xp-AntiSpy" = xp-AntiSpy 3.97-3
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape add-in for Adobe Flash Player" = Octoshape add-in for Adobe Flash Player
"RadioRipper" = RadioRipper 1.1d BETA5
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.01.2010 13:41:05 | Computer Name = NIX-69981CA297D | Source = Google Update | ID = 20
Description = 
 
Error - 16.01.2010 17:07:08 | Computer Name = NIX-69981CA297D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wmplayer.exe, Version 11.0.5721.5145, fehlgeschlagenes
 Modul wmp.dll, Version 11.0.5721.5145, Fehleradresse 0x00171b3a.
 
Error - 01.02.2010 19:32:18 | Computer Name = NIX-69981CA297D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3642, fehlgeschlagenes
 Modul 3difr.x3d, Version 9.1.2.82, Fehleradresse 0x0001d96e.
 
[ System Events ]
Error - 02.02.2010 14:00:35 | Computer Name = NIX-69981CA297D | Source = DCOM | ID = 10010
Description = Der Server "{B1DBD568-80B2-43FA-AE07-76FB23AA4650}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 02.02.2010 14:01:05 | Computer Name = NIX-69981CA297D | Source = DCOM | ID = 10010
Description = Der Server "{B1DBD568-80B2-43FA-AE07-76FB23AA4650}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 02.02.2010 14:45:48 | Computer Name = NIX-69981CA297D | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 02.02.2010 14:46:22 | Computer Name = NIX-69981CA297D | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "fssfltr" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 02.02.2010 14:46:50 | Computer Name = NIX-69981CA297D | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  AmdK8  BIOS  BS_I2cIo  Fips  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  Tcpip
 
 
< End of report >

Ich kenne mich da leider auch nicht sonderlich sehr gut aus aber lerne gerne dazu wenn man es mir erklärt.
Dies ist der Computer eines Freundes und ich habe keine Ahnung wo er sich dieses Programm Antivirus Software eingefangen hat. Das Ding ist echt nervig.

Grüße an alle
Lobby

Pyromir · 02.02.2010, 21:57

Hi,

die Liste ist wiederum abgearbeitet.
Die Virustotal-Ergebnisse für C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe:

Code:

ATTFilter

 Datei ciijdp.exe empfangen 2010.02.02 18:06:13 (UTC)
Status: Beendet
Ergebnis: 3/40 (7.50%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.50 	2010.02.02 	-
AhnLab-V3 	5.0.0.2 	2010.02.01 	-
AntiVir 	7.9.1.156 	2010.02.02 	-
Antiy-AVL 	2.0.3.7 	2010.02.02 	-
Authentium 	5.2.0.5 	2010.02.02 	-
Avast 	4.8.1351.0 	2010.02.02 	-
AVG 	9.0.0.730 	2010.02.02 	-
BitDefender 	7.2 	2010.02.02 	-
CAT-QuickHeal 	10.00 	2010.02.02 	-
ClamAV 	0.96.0.0-git 	2010.02.02 	-
Comodo 	3795 	2010.02.02 	-
DrWeb 	5.0.1.12222 	2010.02.02 	-
eSafe 	7.0.17.0 	2010.02.02 	-
eTrust-Vet 	35.2.7276 	2010.02.02 	-
F-Prot 	4.5.1.85 	2010.02.01 	-
F-Secure 	9.0.15370.0 	2010.02.02 	Suspicious:W32/Riskware!Online
Fortinet 	4.0.14.0 	2010.02.02 	-
GData 	19 	2010.02.02 	-
Ikarus 	T3.1.1.80.0 	2010.02.02 	-
Jiangmin 	13.0.900 	2010.02.02 	-
K7AntiVirus 	7.10.963 	2010.02.02 	-
Kaspersky 	7.0.0.125 	2010.02.02 	-
McAfee 	5880 	2010.02.02 	-
McAfee+Artemis 	5880 	2010.02.02 	-
McAfee-GW-Edition 	6.8.5 	2010.02.02 	-
Microsoft 	1.5406 	2010.02.02 	-
NOD32 	4829 	2010.02.02 	-
Norman 	6.04.03 	2010.02.02 	-
nProtect 	2009.1.8.0 	2010.02.02 	-
Panda 	10.0.2.2 	2010.02.02 	Suspicious file
PCTools 	7.0.3.5 	2010.02.02 	-
Prevx 	3.0 	2010.02.02 	High Risk Fraudulent Security Program
Rising 	22.33.01.04 	2010.02.02 	-
Sophos 	4.50.0 	2010.02.02 	-
Sunbelt 	3.2.1858.2 	2010.02.02 	-
TheHacker 	6.5.1.0.176 	2010.02.02 	-
TrendMicro 	9.120.0.1004 	2010.02.02 	-
VBA32 	3.12.12.1 	2010.02.02 	-
ViRobot 	2010.2.2.2168 	2010.02.02 	-
VirusBuster 	5.0.21.0 	2010.02.02 	-
weitere Informationen
File size: 279296 bytes
MD5   : c022d01e98095759696a35aa2269f37f
SHA1  : 8a9c46e164500b81797510f459b6fd8ae7dfa5b7
SHA256: 53f549dc4c512a200f957c2fe93915da8e97c1e54b3979dc2f66649335fb4fba
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x76910
timedatestamp.....: 0x4B66E429 (Mon Feb 1 15:24:41 2010)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x32000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x33000 0x44000 0x43C00 7.77 ec76cfbe82c1e542ff5fd240b1a0473e
.rsrc 0x77000 0x1000 0x200 3.43 2e99e5820ba00d6d5f72402ca4d0074b

( 3 imports )

> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> shlwapi.dll: UrlHashA
> user32.dll: EndPaint

( 0 exports )
TrID  : File type identification
UPX compressed Win32 Executable (42.6%)
Win32 EXE Yoda's Crypter (37.0%)
Win32 Executable Generic (11.8%)
Clipper DOS Executable (2.8%)
Generic Win/DOS Executable (2.7%)
ssdeep: 6144:JoZ1tvoTxu+LT8RUCeaMjaGEohLrqc146eT7RPQnW4TOn:iZ1tUZCeaMAohLrb1mTVPQWNn
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=234B279200927E16431B049E5161D00010FE5314
PEiD  : -
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
RDS   : NSRL Reference Data Set

Die Virustotal-Ergebnisse für die C:\WINDOWS\unin0407.exe

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.50	2010.02.02	-
AhnLab-V3	5.0.0.2	2010.02.01	-
AntiVir	7.9.1.156	2010.02.02	-
Antiy-AVL	2.0.3.7	2010.02.02	-
Authentium	5.2.0.5	2010.02.02	-
Avast	4.8.1351.0	2010.02.02	-
AVG	9.0.0.730	2010.02.01	-
BitDefender	7.2	2010.02.02	-
CAT-QuickHeal	10.00	2010.02.02	-
ClamAV	0.96.0.0-git	2010.02.02	-
Comodo	3790	2010.02.02	-
DrWeb	5.0.1.12222	2010.02.02	-
eSafe	7.0.17.0	2010.02.02	-
eTrust-Vet	35.2.7276	2010.02.02	-
F-Prot	4.5.1.85	2010.02.01	-
F-Secure	9.0.15370.0	2010.02.02	-
Fortinet	4.0.14.0	2010.02.02	-
GData	19	2010.02.02	-
Ikarus	T3.1.1.80.0	2010.02.02	-
Jiangmin	13.0.900	2010.02.02	-
K7AntiVirus	7.10.962	2010.02.01	-
Kaspersky	7.0.0.125	2010.02.02	-
McAfee	5879	2010.02.01	-
McAfee+Artemis	5879	2010.02.01	-
McAfee-GW-Edition	6.8.5	2010.02.02	-
Microsoft	1.5406	2010.02.02	-
NOD32	4827	2010.02.02	-
Norman	6.04.03	2010.02.02	-
nProtect	2009.1.8.0	2010.02.02	-
Panda	10.0.2.2	2010.02.01	-
PCTools	7.0.3.5	2010.02.02	-
Prevx	3.0	2010.02.02	-
Rising	22.33.01.04	2010.02.02	-
Sophos	4.50.0	2010.02.02	-
Sunbelt	3.2.1858.2	2010.02.02	-
TheHacker	6.5.1.0.176	2010.02.02	-
TrendMicro	9.120.0.1004	2010.02.02	-
VBA32	3.12.12.1	2010.02.01	-
ViRobot	2010.2.2.2168	2010.02.02	-
VirusBuster	5.0.21.0	2010.02.01	-
weitere Informationen
File size: 284160 bytes
MD5...: 7b26e3693d2bff085c371d3ba3d5d2e9
SHA1..: 3af0152af431eabc229584201f09da7b3198411c
SHA256: 480ac71b9e01dbdc55759e7e8ce3efa09f16c91b72eaf0039a92282bce97951f
ssdeep: 3072:dzRsqoEx/pMomc61C49P7qoAK810hFD7Zi2EJdmDkJfVcJE+o0LVxVruuPs
vTYdv:dF4+6HNTEnD5aJJLVHyRUdKM
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1a631
timedatestamp.....: 0x311a81ea (Thu Feb 08 23:06:18 1996)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1bdb8 0x1be00 5.88 4ee9934844fa7dcb15e93cad0fd09830
.bss 0x1d000 0xf50 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x1e000 0xc 0x200 0.18 438253ed69b3d56a6d95d1178239d4db
.data 0x1f000 0x1b0c 0x1c00 4.51 d290aa4c589c7523b219670f8e93a9fd
.idata 0x21000 0x1492 0x1600 5.28 20d617f9c15f89d10c7854690af84080
.rsrc 0x23000 0x2437c 0x24400 6.22 4d3bce065a8bd043924cb3c7a98142bf
.reloc 0x48000 0x1b42 0x1c00 6.24 f6918a6b3bca752a6bb6f5a52835e69b

( 6 imports )
> USER32.dll: OemToCharA, LoadBitmapA, ReleaseDC, GetWindowRect, GetClassNameA, BeginPaint, GetDC, EndPaint, SetWindowTextA, CharUpperA, CharLowerA, CreateDialogParamA, GetClientRect, SendMessageA, InvalidateRect, GetDlgItem, GetWindowTextA, EnableWindow, IsWindowVisible, SetFocus, ScreenToClient, CharNextA, InflateRect, SetRectEmpty, GetSystemMetrics, SetWindowPos, UpdateWindow, ShowWindow, DestroyWindow, wsprintfA, LoadStringA, MessageBeep, MessageBoxA, LoadIconA, LoadCursorA, RegisterClassA, CreateWindowExA, SetTimer, PeekMessageA, IsWindow, IsDialogMessageA, TranslateMessage, DispatchMessageA, KillTimer, SetRect, FillRect, CharToOemA, CharPrevA, PostQuitMessage, DefWindowProcA, ExitWindowsEx, FindWindowA, PostMessageA, RegisterWindowMessageA, DdeGetData, DdeFreeDataHandle, DdeConnect, DdeClientTransaction, DdeGetLastError, DdeDisconnect, DdeFreeStringHandle, DdeUninitialize, DdeInitializeA, DdeCreateStringHandleA, GetClassInfoA, GetWindowLongA, GetWindow, GetSysColor
> GDI32.dll: SetPixel, GetTextExtentPointA, DeleteObject, GetSystemPaletteEntries, CreatePalette, CreateDIBitmap, CreateBitmap, SetBkColor, CreatePen, MoveToEx, LineTo, CreateCompatibleBitmap, SaveDC, CreateSolidBrush, GetStockObject, Rectangle, RestoreDC, GetDeviceCaps, CreateCompatibleDC, SelectObject, BitBlt, DeleteDC, SelectPalette, RealizePalette, GetObjectA
> KERNEL32.dll: OpenFile, FindClose, GetFileTime, SetFileTime, GetStdHandle, GetCPInfo, GetOEMCP, GetACP, UnhandledExceptionFilter, RtlUnwind, ExitProcess, GetLocalTime, GetCommandLineA, GetEnvironmentStrings, GetStartupInfoA, GlobalHandle, GlobalCompact, GlobalReAlloc, GetCurrentDirectoryA, _llseek, FileTimeToDosDateTime, FileTimeToLocalFileTime, GetFileType, VirtualFree, GetModuleHandleA, WideCharToMultiByte, GetSystemInfo, GetTimeZoneInformation, SetEnvironmentVariableA, MultiByteToWideChar, WinExec, MoveFileExA, GetCurrentThread, GetCurrentProcess, lstrcmpA, CreateDirectoryA, GetDiskFreeSpaceA, GetLastError, FindNextFileA, SetCurrentDirectoryA, GetDriveTypeA, SetFileAttributesA, GetFileAttributesA, RemoveDirectoryA, GetTickCount, GetModuleFileNameA, lstrcpyA, IsDBCSLeadByte, FreeLibrary, GetProcAddress, LoadLibraryA, GetVersion, GlobalFree, GlobalUnlock, FreeResource, _lclose, _hwrite, CreateFileA, lstrcatA, GetWindowsDirectoryA, GlobalLock, GlobalAlloc, LockResource, SizeofResource, LoadResource, FindResourceA, _lread, LocalFileTimeToFileTime, SetErrorMode, lstrcmpiA, GetPrivateProfileStringA, lstrlenA, Sleep, GetSystemDirectoryA, FindFirstFileA, VirtualAlloc, CloseHandle, _lwrite, GetFileSize, SetEndOfFile, DosDateTimeToFileTime, SetFilePointer, ReadFile, WriteFile, DeleteFileA, MoveFileA
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> ADVAPI32.dll: RegDeleteValueA, RegCloseKey, RegQueryValueExA, LookupPrivilegeValueA, AdjustTokenPrivileges, OpenThreadToken, OpenProcessToken, GetTokenInformation, EqualSid, RegEnumValueA, RegOpenKeyA, InitializeSecurityDescriptor, RegSetValueExA, RegEnumKeyA, RegDeleteKeyA, RegCreateKeyExA, AllocateAndInitializeSid, SetSecurityDescriptorOwner, FreeSid
> comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: InstallShield setup (37.7%)
Win32 Executable MS Visual C++ (generic) (33.0%)
Windows Screen Saver (11.4%)
Win32 Executable Generic (7.4%)
Win32 Dynamic Link Library (generic) (6.6%)
sigcheck:
publisher....: Stirling Technologies, Inc.
copyright....: Copyright Stirling Technologies, Inc. 1990-1996 Phone : (847) 240-9111
product......: InstallShield Deinstaller
description..: InstallShield Deinstaller
original name: n/a
internal name: n/a
file version.: 2.20.913.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Die Virustotal-Ergebnisse für die C:\WINDOWS\jestertb.dll

Code:

ATTFilter

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.50 	2010.02.01 	-
AhnLab-V3 	5.0.0.2 	2010.02.01 	-
AntiVir 	7.9.1.156 	2010.02.01 	-
Antiy-AVL 	2.0.3.7 	2010.02.01 	-
Authentium 	5.2.0.5 	2010.01.31 	-
Avast 	4.8.1351.0 	2010.02.01 	-
AVG 	9.0.0.730 	2010.02.01 	-
BitDefender 	7.2 	2010.02.01 	-
CAT-QuickHeal 	10.00 	2010.02.01 	-
ClamAV 	0.96.0.0-git 	2010.02.01 	-
Comodo 	3785 	2010.02.01 	-
DrWeb 	5.0.1.12222 	2010.02.01 	-
eSafe 	7.0.17.0 	2010.02.01 	-
eTrust-Vet 	35.2.7274 	2010.02.01 	-
F-Prot 	4.5.1.85 	2010.01.31 	-
F-Secure 	9.0.15370.0 	2010.02.01 	-
Fortinet 	4.0.14.0 	2010.02.01 	-
GData 	19 	2010.02.01 	-
Ikarus 	T3.1.1.80.0 	2010.02.01 	-
Jiangmin 	13.0.900 	2010.01.28 	-
K7AntiVirus 	7.10.960 	2010.01.29 	-
Kaspersky 	7.0.0.125 	2010.02.01 	-
McAfee 	5879 	2010.02.01 	-
McAfee+Artemis 	5879 	2010.02.01 	-
McAfee-GW-Edition 	6.8.5 	2010.02.01 	-
Microsoft 	1.5406 	2010.02.01 	-
NOD32 	4824 	2010.02.01 	-
Norman 	6.04.03 	2010.02.01 	-
nProtect 	2009.1.8.0 	2010.02.01 	-
Panda 	10.0.2.2 	2010.02.01 	-
PCTools 	7.0.3.5 	2010.02.01 	-
Prevx 	3.0 	2010.02.01 	-
Rising 	22.33.00.04 	2010.02.01 	-
Sophos 	4.50.0 	2010.02.01 	-
Sunbelt 	3.2.1858.2 	2010.01.31 	-
Symantec 	20091.2.0.41 	2010.02.01 	-
TheHacker 	6.5.1.0.175 	2010.02.01 	-
TrendMicro 	9.120.0.1004 	2010.02.01 	-
VBA32 	3.12.12.1 	2010.02.01 	-
ViRobot 	2010.2.1.2166 	2010.02.01 	-
VirusBuster 	5.0.21.0 	2010.02.01 	-
weitere Informationen
File size: 21504 bytes
MD5   : 56df1b6c087d4b9c0ab2318f226d3040
SHA1  : a818c50a6a34260e42a73eebb1716df73f1532b2
SHA256: 3628e028f807787915691ea74041f9a93fa7fd0f2fe4d1175ad4fd117d00a2e5
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x47E8
timedatestamp.....: 0x2A425E19 (Sat Jun 20 00:22:17 1992)
machinetype.......: 0x14C (Intel I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x3840 0x3A00 6.40 4c599c8a273f8f705614b896d62f5594
DATA 0x5000 0xCC 0x200 1.94 db5a50cf900334485962b7400fdb11a7
BSS 0x6000 0x4ED 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x7000 0x662 0x800 3.79 ac16988faccf8105c91efe309c85dbfa
.edata 0x8000 0x53 0x200 0.84 7d4cbb52a330f2c41ab60e8bda77254f
.reloc 0x9000 0x3DC 0x400 6.46 0b5f1d46b1cd82755103843541193017
.rsrc 0xA000 0x600 0x600 3.27 6aa5035a3e7f0f62b5494d0c4fff9ca0

( 4 imports )

> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> kernel32.dll: GetCurrentThreadId, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, VirtualQuery, lstrlenA, lstrcpynA, lstrcpyA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
> oleaut32.dll: VariantCopyInd, VariantClear, SysFreeString, SysReAllocStringLen
> user32.dll: GetKeyboardType, MessageBoxA, CharNextA

( 1 exports )

> WhatsTheBuildNumber
TrID  : File type identification
Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=56df1b6c087d4b9c0ab2318f226d3040
ssdeep: 384:mWqCh+FKTIqxrEvsfZg6casm3k6sXARB3tVXuaUQQXHW:oFvqhEvsRg6casmXswRBvrU
PEiD  : -
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=56df1b6c087d4b9c0ab2318f226d3040
RDS   : NSRL Reference Data Set

Und die Virustotal-Ergebnisse für die C:\WINDOWS\System32\JJAKEn.dll

Code:

ATTFilter

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.50 	2010.01.19 	-
AhnLab-V3 	5.0.0.2 	2010.01.19 	-
AntiVir 	7.9.1.142 	2010.01.19 	-
Antiy-AVL 	2.0.3.7 	2010.01.19 	-
Authentium 	5.2.0.5 	2010.01.19 	-
Avast 	4.8.1351.0 	2010.01.19 	-
AVG 	9.0.0.730 	2010.01.19 	-
BitDefender 	7.2 	2010.01.19 	-
CAT-QuickHeal 	10.00 	2010.01.19 	-
ClamAV 	0.94.1 	2010.01.19 	-
Comodo 	3637 	2010.01.19 	-
DrWeb 	5.0.1.12222 	2010.01.19 	-
eSafe 	7.0.17.0 	2010.01.19 	-
eTrust-Vet 	35.2.7245 	2010.01.19 	-
F-Prot 	4.5.1.85 	2010.01.18 	-
F-Secure 	9.0.15370.0 	2010.01.19 	-
Fortinet 	4.0.14.0 	2010.01.19 	-
GData 	19 	2010.01.19 	-
Ikarus 	T3.1.1.80.0 	2010.01.19 	-
Jiangmin 	13.0.900 	2010.01.19 	-
K7AntiVirus 	7.10.950 	2010.01.18 	-
Kaspersky 	7.0.0.125 	2010.01.19 	-
McAfee 	5865 	2010.01.18 	-
McAfee+Artemis 	5865 	2010.01.18 	-
McAfee-GW-Edition 	6.8.5 	2010.01.19 	-
Microsoft 	1.5302 	2010.01.19 	-
NOD32 	4786 	2010.01.19 	-
Norman 	6.04.03 	2010.01.19 	-
nProtect 	2009.1.8.0 	2010.01.19 	-
Panda 	10.0.2.2 	2010.01.19 	-
PCTools 	7.0.3.5 	2010.01.19 	-
Prevx 	3.0 	2010.01.19 	-
Rising 	22.31.01.04 	2010.01.19 	-
Sophos 	4.49.0 	2010.01.19 	-
Sunbelt 	3.2.1858.2 	2010.01.19 	-
Symantec 	20091.2.0.41 	2010.01.19 	-
TheHacker 	6.5.0.6.156 	2010.01.19 	-
TrendMicro 	9.120.0.1004 	2010.01.19 	-
VBA32 	3.12.12.1 	2010.01.19 	-
ViRobot 	2010.1.19.2144 	2010.01.19 	-
VirusBuster 	5.0.21.0 	2010.01.19 	-
weitere Informationen
File size: 49152 bytes
MD5   : b9fecd748f2d0096bcf1da11579eba13
SHA1  : 01d8908429d05246376e5583c4c3f9ecba54b31c
SHA256: f37ec3159500335e7d252993a5aab4843e482f76f73549f05bb670b8b3d4fc2b
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2FD7
timedatestamp.....: 0x42F1ADAE (Thu Aug 4 07:54:54 2005)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2156 0x3000 5.10 1a458ddfe99621ff4c71fed02de4a2d6
.rdata 0x4000 0x40F1 0x5000 6.45 11f734264df7ef8af9d2ad2b9f8702f7
.data 0x9000 0x1314 0x1000 0.62 03c4d885938ccadd6c203aacc158c4ed
.rsrc 0xB000 0x350 0x1000 0.87 4401212d5935d81ad617a2e834011f44
.reloc 0xC000 0x340 0x1000 1.74 2b909f684e307632182942796b68ad6e

( 0 imports )


( 0 exports )
TrID  : File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=b9fecd748f2d0096bcf1da11579eba13
ssdeep: 768:HGs24q53dpPYxj/0Baho9S4AJKqBz8MZ2pHlA:me+3dpPY9/0N9S4A3spFA
PEiD  : Armadillo v1.xx - v2.xx
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b9fecd748f2d0096bcf1da11579eba13
RDS   : NSRL Reference Data Set

Der Avanger liefert Folgendes:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw\eqfysftav.exe" deleted successfully.
Folder "C:\Dokumente und Einstellungen\schnau\Lokale Einstellungen\Anwendungsdaten\aastkw" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

und das mbr-Logfile spricht:

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully

Soweit, so bunt.

Gruß
Marc

Chris4You · 03.02.2010, 08:56

@Lobby:
Eigentlich einen neuen Thread eröffnen, sonst wird das zu unübersichtlich...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

H:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\gswsmv\mnotsftav.exe
H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe
H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Der Rechner ist stark verseucht:

Zitat:

..
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-0970692394-9377730363-250308854-1723\windll.exe) - H:\RECYCLER\S-1-5-21-0970692394-9377730363-250308854-1723\windll.exe ()
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-0306697856-3225491246-342326368-7839\winncr.exe) - H:\RECYCLER\S-1-5-21-0306697856-3225491246-342326368-7839\winncr.exe ()
O20 - HKCU Winlogon: Shell - (H:\RECYCLER\S-1-5-21-4895193801-6044875340-930976398-7121\windll.exe) - H:\RECYCLER\S-1-5-21-4895193801-6044875340-930976398-7121\windll.exe ()
O20 - HKCU Winlogon: Shell - (H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe) - H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\oynnuf.exe ()
O20 - HKCU Winlogon: Shell - (H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe) - H:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\erpogs.exe (hAoWysDM0)
..

daher
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Chris4You · 03.02.2010, 09:09

@Pyromir
Hi,

was macht der Rechner, kommen immer noch die Meldungen?
Date MAM ab und lasse es neu scannen, vorher bitte das hier versuchen durchzuführen:

Open-command für exe zurücksetzen
Speichere den nachfolgenden Text über den Editor (Start->Ausführen notepad)
auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT").
Dann mit Doppelklick auf die Datei ausführen, Abfrage abnicken!

Code:

ATTFilter

REGEDIT4

[HKEY_CLASSES_ROOT\exefile]
"EditFlags"=hex:d8,07,00,00
@="Anwendung"

[HKEY_CLASSES_ROOT\exefile\shell]
@=""

[HKEY_CLASSES_ROOT\exefile\shell\open]
@=""
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}]
@=""

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

Wenn das nicht geht, dann über eine INF-Datei:

Du kannst auch diese Datei heruterladen (unhookexec.inf)
http://www.mediafire.com/?9zu4hvgey11
Auf den Desktop speichern und dann mit rechte Maustaste/installieren waehlen.

oder

das hier in den Editor (Start->Zubehör->Editor) kopieren und als unhookexec.inf auf dem Desktop speichern.

Code:

ATTFilter

[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

Danach mit der rechte Maustaste/installieren waehlen.
Neu booten...

chris

Pyromir · 03.02.2010, 10:15

Moin Chris,

alles ist shiny.

Die Ausführung der SetExe.reg lief ohne Probleme durch, Kontrollscans ergeben exakt null Treffer, der Rechner läuft störungsfrei.

Herzlichen Dank für Deine Mühe! Wegen des angehängten Problems von Lobby ist es wahrscheinlich derzeit nicht sinnvoll, den Threat als "gelöst" zu markieren?

Aus der ganzen Aktion ergeben sich für mich noch drei Fragen:

Woher kam das rootkit? Ich mache ja sicherlich ab und an komische Sachen mit dem Computer, der Besuch fragwürdiger Websites gehört eher nicht dazu.
Kann es sein, dass das rootkit zeitverzögert zugeschlagen hat, also schon länger auf dem Rechner "lauerte"?
Ich werde mal in Ruhe versuchen, den Lösungsweg, vor allem die durch Dich erfolgte Identifizierung der schädlichen Dateien nachzuvollziehen. Hast Du da vielleicht einen Link zum Weiterlesen/Informieren? Dann besteht ja die Möglichkeit, dass ich in einigen dutzend Jahren auch mal helfen kann, falls jemand in Not gerät.

Gruß und nochmal vielen Dank,
Marc

Zugriff auf Taskmanager u. Anwendungen wird blockiert, aufpoppende Alerts u. a.

Plagegeister aller Art und deren Bekämpfung: Zugriff auf Taskmanager u. Anwendungen wird blockiert, aufpoppende Alerts u. a.