Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?

siggi_steve · 14.04.2010, 22:50

Habe ComboFix entsprechend dem Tutorial durchgeführt. Die Autoruninformation erschien seit dem Neustart nicht.
Nun das logfile:

ComboFix 10-04-14.01 - Steve 14.04.2010 22:52:08.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.735.449 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Steve\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokumente und einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\wykyo.dat
c:\dokumente und einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\wykyo_nav.dat
c:\dokumente und einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\wykyo_navps.dat
c:\recycler\NPROTECT
c:\recycler\S-1-5-21-7389561245-5566612519-093244711-9483
c:\recycler\S-1-5-21-7455675266-7084949627-719753023-4988
c:\windows\system32\_000008_.tmp.dll
D:\Autorun.inf
E:\autorun.inf
F:\autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2010-03-14 bis 2010-04-14 ))))))))))))))))))))))))))))))
.

2010-04-12 09:52 . 2010-04-12 09:52 -------- d-----w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\DivX
2010-03-30 20:23 . 2010-03-30 20:23 503808 ----a-w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-412d8748-n\msvcp71.dll
2010-03-30 20:23 . 2010-03-30 20:23 499712 ----a-w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-412d8748-n\jmc.dll
2010-03-30 20:23 . 2010-03-30 20:23 348160 ----a-w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-412d8748-n\msvcr71.dll
2010-03-30 20:23 . 2010-03-30 20:23 61440 ----a-w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-51743631-n\decora-sse.dll
2010-03-30 20:23 . 2010-03-30 20:23 12800 ----a-w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-51743631-n\decora-d3d.dll
2010-03-25 12:17 . 2010-03-25 12:17 -------- d-----w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-14 20:26 . 2007-02-19 12:12 -------- d-----w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\Skype
2010-04-14 17:31 . 2009-03-01 19:17 -------- d-----w- c:\dokumente und einstellungen\Steve\Anwendungsdaten\skypePM
2010-04-11 10:27 . 2009-04-06 07:51 -------- d-----w- c:\programme\Malwarebytes
2010-04-11 10:26 . 2009-11-10 12:11 5918776 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-10 16:14 . 2009-04-07 17:43 -------- d-----w- c:\programme\Spybot
2010-04-10 16:03 . 2009-04-07 17:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-04-10 09:13 . 2007-02-19 09:46 -------- d-----w- c:\programme\Lx_cats
2010-04-07 14:08 . 2008-02-17 18:50 -------- d-----w- c:\programme\Java
2010-04-07 14:08 . 2008-02-17 18:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-04-06 21:07 . 2009-04-06 07:35 -------- d-----w- c:\programme\CCleaner
2010-03-30 20:23 . 2001-08-23 12:00 85542 ----a-w- c:\windows\system32\perfc007.dat
2010-03-30 20:23 . 2001-08-23 12:00 462652 ----a-w- c:\windows\system32\perfh007.dat
2010-03-29 22:46 . 2009-04-06 07:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2009-04-06 07:51 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-12 21:17 . 2010-03-12 21:17 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2010-03-10 06:15 . 2004-08-03 23:57 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-09 02:28 . 2009-02-26 01:43 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-01 08:05 . 2009-06-29 18:36 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-25 06:15 . 2004-08-03 23:57 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-03 22:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-19 21:14 . 2010-02-19 21:14 -------- d-----w- c:\programme\MSXML 4.0
2010-02-18 10:44 . 2010-02-18 10:44 -------- d--h--r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Atheros
2010-02-18 10:44 . 2010-02-18 10:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TP-LINK
2010-02-18 10:39 . 2007-02-18 19:11 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-02-17 12:04 . 2004-08-03 23:50 2192256 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2004-08-04 00:50 2069120 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 12:24 . 2009-06-29 18:36 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-12 04:33 . 2004-08-03 23:57 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-03 22:07 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-07 18:16 . 2010-02-08 18:27 26810888 ----a-w- C:\3740_deu_win2k_xp.exe
2010-01-30 21:37 . 2007-02-18 20:05 43808 ----a-w- c:\dokumente und einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"LXBTCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll" [2004-02-23 61440]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
2003-12-22 07:38 241664 ----a-w- c:\programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2004-05-13 01:17 49152 ----a-w- c:\programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
2004-05-13 01:17 172032 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2009-11-16 15:36 172792 ----a-w- d:\programme\ICQ6.5\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark 5200 series]
2004-02-24 17:12 57344 ----a-w- c:\programme\Lexmark 5200 Series\lxbtbmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
2008-07-04 11:52 2072576 ----a-w- c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ccEvtMgr"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [29.06.2009 20:36 135336]
R2 CleanTempDir;CleanTempDir;c:\windows\CleanTemp.exe [18.02.2007 21:08 424448]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [04.07.2008 13:52 14336]
S3 arusb(TP-LINK);Atheros Wireless Network Adapter Service(TP-LINK);c:\windows\system32\DRIVERS\arusb.sys --> c:\windows\system32\DRIVERS\arusb.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-04-14 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-13 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215119249
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game06.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-14 22:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXBTCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-04-14 22:58:33
ComboFix-quarantined-files.txt 2010-04-14 20:58

Vor Suchlauf: 7 Verzeichnis(se), 12.931.969.024 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 12.932.415.488 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP
Professional" /noexecute=optin /fastdetect

- - End Of File - - 447DDCCD0518D1CB7F5391994432CD00

Sion · 15.04.2010, 09:51

ComboFix hat autorun.inf Ordner weggelöscht, die vom Flash Disinfector erstellt wurden. Irgendetwas hat da versucht, auf diese Ordner zuzugreifen und ist gescheitert. Deswegen die Meldungen. Naturgemäß gibt es jetzt keine Meldungen mehr.

Führe Flash Disinfector noch einmal aus. Wenn die Meldungen wiederkommen, starte OTL klicke auf Run Scan und poste die beiden Logs.

siggi_steve · 15.04.2010, 12:23

Beim Durchlauf von FlashDesinfector tauchten die autoruninfos auf.
OTL lief nun erneut durch mit dem folgenden Logfile als Ergebnis:

Code:

ATTFilter

OTL logfile created on: 15.04.2010 12:27:34 - Run 2
OTL by OldTimer - Version 3.2.1.1     Folder = F:\wir arbeiten clean\usb frethog
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
735,00 Mb Total Physical Memory | 491,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): F:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 12,13 Gb Free Space | 62,10% Space Free | Partition Type: NTFS
Drive D: | 9,77 Gb Total Space | 8,50 Gb Free Space | 86,98% Space Free | Partition Type: NTFS
Drive E: | 45,23 Gb Total Space | 18,14 Gb Free Space | 40,10% Space Free | Partition Type: NTFS
Drive F: | 74,52 Gb Total Space | 37,50 Gb Free Space | 50,32% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive K: | 977,06 Mb Total Space | 428,35 Mb Free Space | 43,84% Space Free | Partition Type: FAT32
 
Computer Name: PC-STEVE
Current User Name: Steve
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Processes (SafeList) ==========
 
PRC - [2010.04.10 18:07:29 | 000,561,664 | ---- | M] (OldTimer Tools) -- F:\wir arbeiten clean\usb frethog\OTL.exe
PRC - [2010.03.16 16:36:29 | 000,267,432 | ---- | M] (Avira GmbH) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.02 11:28:23 | 000,282,792 | ---- | M] (Avira GmbH) -- D:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- D:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- D:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008.07.04 13:52:18 | 000,014,336 | ---- | M] (Vodafone) -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
PRC - [2008.04.23 02:08:13 | 000,483,328 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2000.11.04 13:23:14 | 000,424,448 | ---- | M] (Océ-Deutschland GmbH) -- C:\WINDOWS\CleanTemp.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.04.10 18:07:29 | 000,561,664 | ---- | M] (OldTimer Tools) -- F:\wir arbeiten clean\usb frethog\OTL.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010.03.16 16:36:29 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- D:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- D:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.07.04 13:52:18 | 000,014,336 | ---- | M] (Vodafone) [Auto | Running] -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe -- (VMCService)
SRV - [2007.02.18 21:13:24 | 000,068,096 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2004.02.20 21:10:08 | 000,421,888 | ---- | M] (Lexmark International, Inc.) [On_Demand | Stopped] -- C:\WINDOWS\System32\lxbtcoms.exe -- (lxbt_device)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2001.08.23 14:00:00 | 000,019,456 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\tcpsvcs.exe -- (LPDSVC)
SRV - [2000.11.04 13:23:14 | 000,424,448 | ---- | M] (Océ-Deutschland GmbH) [Auto | Running] -- C:\WINDOWS\CleanTemp.exe -- (CleanTempDir)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.03.01 10:05:19 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.02.16 14:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- D:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 20:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2008.03.17 12:03:46 | 000,101,376 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2008.01.18 11:00:00 | 000,385,072 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
DRV - [2005.01.17 14:48:34 | 000,023,000 | ---- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btcusb.sys -- (Btcsrusb)
DRV - [2005.01.13 15:20:36 | 000,012,500 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vbtenum.sys -- (BTHidEnum)
DRV - [2004.12.16 16:32:54 | 000,013,304 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BTNetFilter.sys -- (BTNetFilter)
DRV - [2004.11.05 11:39:08 | 000,082,148 | ---- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VcommMgr.sys -- (VcommMgr)
DRV - [2004.10.19 13:40:56 | 000,028,207 | ---- | M] (IVT Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - [2004.10.19 13:37:38 | 000,061,312 | ---- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VComm.sys -- (VComm)
DRV - [2004.10.19 11:39:26 | 000,020,096 | ---- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\blueletaudio.sys -- (BlueletAudio)
DRV - [2004.09.21 18:15:34 | 000,010,804 | ---- | M] (IVT Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BtNetDrv.sys -- (BT)
DRV - [2004.08.03 23:29:52 | 000,166,912 | ---- | M] (S3 Graphics, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\s3gnbm.sys -- (S3SavageNB)
DRV - [2002.03.11 19:57:00 | 000,043,776 | R--- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\viaudio.sys -- (VIAudio) VIA AC'97 Enhanced Audio Controller (WDM)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
O1 HOSTS File: ([2010.04.11 12:14:05 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1       localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [LXBTCATS] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.DLL (Lexmark International, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 36
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = FF FF FF FF  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - D:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_19.dll (Sun Microsystems, Inc.)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} hxxp://codecs.microsoft.com/codecs/i386/fhg.CAB (Reg Error: Key error.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1227114119 (Image Uploader Control)
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} hxxp://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1 (Image Uploader Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} hxxp://secro.dyndns.org/activex/AxisCamControl.cab (CamImage Class)
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215119249 (Image Uploader Control)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game06.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 62.53.247.120 193.189.244.205
O18 - Protocol\Handler\cetihpz {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll (Hewlett-Packard Company)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.02.18 20:50:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.04.15 12:10:37 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.04.15 12:10:37 | 000,000,000 | RHSD | M] - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.04.15 12:10:37 | 000,000,000 | RHSD | M] - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.04.15 12:10:37 | 000,000,000 | RHSD | M] - F:\autorun.inf -- [ NTFS ]
O32 - Unable to obtain root file information for disk K:\
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.04.15 12:10:37 | 000,000,000 | RHSD | C] -- C:\autorun.inf
[2010.04.15 01:51:18 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Steve\Recent
[2010.04.15 01:50:06 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.04.14 22:58:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010.04.14 22:51:03 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.04.14 22:48:48 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.04.14 22:48:48 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.04.14 22:48:48 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.04.14 22:48:48 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.04.14 22:48:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.04.14 22:48:11 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.04.12 11:52:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\DivX
[2010.03.30 22:24:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.03.30 22:23:48 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.03.30 22:23:48 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.03.30 22:23:48 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.03.25 14:17:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\Avira
[2010.01.28 16:28:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Vodafone
[2009.11.08 21:29:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2008.09.28 17:20:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2007.12.01 13:46:38 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2007.02.18 20:54:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2007.02.18 20:50:38 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
 
========== Files - Modified Within 30 Days ==========
 
[2010.04.15 11:35:47 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.04.15 11:34:35 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.15 11:33:44 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.15 11:33:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.15 01:52:06 | 016,252,928 | -H-- | M] () -- C:\Dokumente und Einstellungen\Steve\NTUSER.DAT
[2010.04.15 01:52:06 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Steve\ntuser.ini
[2010.04.14 22:56:16 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.04.14 22:51:07 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2010.04.14 22:38:03 | 003,915,740 | R--- | M] () -- C:\Dokumente und Einstellungen\Steve\Desktop\ComboFix.exe
[2010.04.14 21:02:39 | 000,055,296 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.14 15:10:28 | 000,028,558 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Tabellarischer Lebenslauf April 2010.pdf
[2010.04.11 12:14:05 | 000,000,098 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\Hosts
[2010.04.10 18:16:45 | 000,000,425 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Desktop\Verknüpfung mit wir arbeiten clean.lnk
[2010.04.07 14:40:20 | 000,000,594 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.04.07 14:40:20 | 000,000,211 | ---- | M] () -- C:\Boot.bak
[2010.04.06 23:08:02 | 000,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Desktop\CCleaner.lnk
[2010.03.30 22:23:28 | 000,462,652 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.03.30 22:23:28 | 000,444,164 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.03.30 22:23:28 | 000,085,542 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.03.30 22:23:28 | 000,072,040 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.03.30 22:23:27 | 001,078,678 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.03.30 00:46:30 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.30 00:45:52 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.03.19 18:05:50 | 004,874,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wmp.dll
 
========== Files Created - No Company Name ==========
 
[2010.04.14 22:51:07 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.04.14 22:51:04 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010.04.14 22:48:48 | 000,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.04.14 22:48:48 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.04.14 22:48:48 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.04.14 22:48:48 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.04.14 22:48:48 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.04.14 22:37:58 | 003,915,740 | R--- | C] () -- C:\Dokumente und Einstellungen\Steve\Desktop\ComboFix.exe
[2010.04.14 15:10:28 | 000,028,558 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Tabellarischer Lebenslauf April 2010.pdf
[2010.04.10 18:16:45 | 000,000,425 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Desktop\Verknüpfung mit wir arbeiten clean.lnk
[2010.02.08 20:27:14 | 000,010,445 | ---- | C] () -- C:\WINDOWS\hpdj3740.ini
[2009.08.01 14:15:35 | 000,012,378 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\hs_err_pid2816.log
[2008.07.19 12:06:04 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2008.06.23 14:02:02 | 000,097,410 | R--- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceManager.xml.rc4
[2008.05.23 18:48:50 | 000,020,270 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceInstaller.xml
[2008.02.03 23:20:00 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.12.29 16:02:01 | 000,000,797 | ---- | C] () -- C:\WINDOWS\WBL.INI
[2007.12.29 16:02:01 | 000,000,043 | ---- | C] () -- C:\WINDOWS\WBLKEY.INI
[2007.08.20 18:37:43 | 000,020,128 | ---- | C] () -- C:\WINDOWS\CDPlayer.ini
[2007.07.24 22:26:02 | 000,013,304 | ---- | C] () -- C:\WINDOWS\System32\drivers\BTNetFilter.sys
[2007.07.24 22:26:02 | 000,012,500 | ---- | C] () -- C:\WINDOWS\System32\drivers\vbtenum.sys
[2007.06.10 16:39:50 | 000,215,144 | R--- | C] () -- C:\WINDOWS\patchw32.dll
[2007.06.10 16:39:09 | 000,215,144 | R--- | C] () -- C:\WINDOWS\pw32a.dll
[2007.02.27 12:59:36 | 000,002,974 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2007.02.27 12:59:34 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2007.02.20 13:01:45 | 000,262,144 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.dat
[2007.02.20 13:01:45 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.dat.LOG
[2007.02.20 12:37:37 | 000,000,022 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2007.02.20 12:21:47 | 000,000,027 | ---- | C] () -- C:\WINDOWS\CDE CX3600FGD.ini
[2007.02.20 11:41:25 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.02.20 11:40:46 | 000,055,296 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.02.19 15:19:54 | 000,139,264 | R--- | C] () -- C:\WINDOWS\System32\lxbtcoin.dll
[2007.02.19 15:19:54 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lxbtsnls.dll
[2007.02.19 11:42:44 | 000,001,832 | R--- | C] () -- C:\WINDOWS\System32\lxbtprod.ini
[2007.02.18 22:04:54 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.02.18 21:25:31 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.02.18 20:55:52 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\Steve\ntuser.dat.LOG
[2007.02.18 20:55:52 | 000,000,300 | -HS- | C] () -- C:\Dokumente und Einstellungen\Steve\ntuser.ini
[2007.02.18 20:55:51 | 016,252,928 | -H-- | C] () -- C:\Dokumente und Einstellungen\Steve\NTUSER.DAT
[2004.02.19 19:31:34 | 000,151,552 | ---- | C] () -- C:\WINDOWS\System32\lxbthwdf.dll
[2003.06.23 18:06:02 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbtvs.dll
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
< End of report >

Sion · 15.04.2010, 12:50

Krieg ich noch die Extras.txt zu sehen? Vielleicht steht jetzt was in den Ereignissen.

siggi_steve · 15.04.2010, 12:59

Wo bekomme ich die Extra.txt her?
Das Programm erstellt beim Run Scan und Quick Scan "nur" die OTL.txt Datei.

Sion · 15.04.2010, 13:23

Kommando zurück. Ich war jetzt mal so schlau, ein bisschen zu recherchieren. Scheint ein neuer Gimmicks von Antivir 10 zu sein. Solang da nicht steht "Trojaner xyz wurde blockiert" oder so ähnlich ist es ok. Du kannst es mit

Avira öffnen -> Extras -> Konfiguration -> Expertenmodus -> Guard -> Suche -> Weitere Aktionen -> dort das Häkchen entfernen bei "Autostart-Funktion blockieren" -> Übernehmen und ok

abschalten. Autostart-Funktion ist bei dir jetzt sowieso abgeschaltet und auf die autorun.inf Ordner von Flash Disinfector kann eher nicht zugegriffen werden. Sollte also in Ordnung sein.

Falls weiter nichts ist, können wir aufräumen:

1. Starte OTL.
Klicke auf CleanUp.
OTL entfernt sich daraufhin selbst.

2. Starte AVZ.
Wähle unter File - Standard scripts
"6. Delete all AVZ drivers and registry keys"
Klicke auf Execute selected scripts

3. http://www.trojaner-board.de/51464-a...-ccleaner.html

4. Hol dir Secunia PSI und bringe damit deinen PC auf den neuesten Stand.

Fertig

siggi_steve · 16.04.2010, 16:59

Danke Sion, habe soweit alles ausgeführt und die autoruninformation unterbleibt.

Leider ging gerade eine Avira-Warnung auf:

"Guard: Malware gefunden
Datum/Uhrzeit [...] Fund
In der Datei F:\System Volume Information\...\A0141361.exe wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' gefunden.

Der Zugriff auf die Datei wurde verweigert.

Bitte wählen Sie die weitere Aktion: Entfernen, Details, .."

Wenn ich mich recht erinner, begann es vor einigen Tagen mit einer ähnlichem Meldung.
Was empfiehlst du mir nun?

Gruß siggi_steve

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?

Log-Analyse und Auswertung: Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?