Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.04.2010, 15:29   #1
stonecoldbus
 
Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall - Standard

Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall



Hi Leute. Auch ich habe mir vor 2 oder 3 Tagen den Antimalware Doctor eingefangen. Ich bin nach einer Google-Suche zu dem Thema direkt auf dieses Forum gestoßen und habe seitdem verschiedene Methoden, die hier genannt werden, ausprobiert. Ich war auch mehr oder weniger erfolgreich; der Antimalware Doctor ist augenscheinlich weg und mein PC läuft wieder fast problemlos.
Zwei Dinge jedoch machen mich stutzig: Ich kann seit der Entfernung des Antimalware Doctors meine Windows Firewall nicht mehr konfiguieren. In der Symbolleiste taucht sie gar nicht mehr auf; wenn ich es über die Systemsteuerung probiere, erscheint nach dem Anklicken des Symbols eine Meldung: "Aufgrund eines unbekannten Problems können die Einstellungen des Windows Firewalls nicht angezeigt werden."
Außerdem ruft mein Firefox nach wie vor zwischendurch immer wieder ungefragt Seiten wie z.b. Casino-Sites oder ähnliches auf.
Suchläufe von Ad-Aware, AntiVir und Malwarebytes Anti-Malware bleiben jedoch ergebnislos.

Hier mein HJT-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:02:23, on 23.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\NETGEAR\WG111v3\WG111v3.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\msiexec.exe
C:\Programme\001 HT\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Kbdapi] rundll32.exe "C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Adobe\Update\widgui.dat""
O4 - Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NETGEAR WG111v3 Setup-Assistent.lnk = C:\Programme\NETGEAR\WG111v3\WG111v3.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.line6.net
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: kjsfi8sjefiuoshiefyhiusdhfdf - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

--
End of file - 5027 bytes
         
Fällt jemandem etwas dazu ein?

Alt 24.04.2010, 10:25   #2
Sion
 
Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall - Standard

Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall



1.http://www.trojaner-board.de/51187-a...i-malware.html
Denk daran die evt. Funde zu entfernen (s. Anleitung).
Log posten.

2. http://www.trojaner-board.de/74908-a...t-scanner.html
Log posten.

3. Hol dir OTL
Starte OTL
Kopiere unten in das Skript-Feld rein:

Zitat:
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
ndis.sys
ftdisk.sys
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
nvraid.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav

Schließe alle anderen Programme.
Klicke auf Quick Scan.
Poste die beiden Logs - OTL.txt und Extras.txt (werden im gleichen Verzeichnis erstellt, in dem OTL ausgeführt wurde).
__________________


Alt 25.04.2010, 02:17   #3
stonecoldbus
 
Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall - Standard

Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall



1. Hier der Anti-Malware-Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
 
Datenbank Version: 4032
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
 
24.04.2010 19:07:16
mbam-log-2010-04-24 (19-07-16).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 144515
Laufzeit: 19 Minute(n), 31 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
 
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kthfq33z.default\Cache\AFC493C6d01 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         
2. Und der GMER-Log:
Code:
ATTFilter
 GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-24 21:22:18
Windows 5.1.2600 Service Pack 3
Running: q8ef2yrd.exe; Driver: C:\DOKUME~1\XXX\LOKALE~1\Temp\pgtdqpow.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT            F7CEBE66                                                                                    ZwCreateKey
SSDT            F7CEBE5C                                                                                    ZwCreateThread
SSDT            F7CEBE6B                                                                                    ZwDeleteKey
SSDT            F7CEBE75                                                                                    ZwDeleteValueKey
SSDT            F7CEBE7A                                                                                    ZwLoadKey
SSDT            F7CEBE48                                                                                    ZwOpenProcess
SSDT            F7CEBE4D                                                                                    ZwOpenThread
SSDT            F7CEBE84                                                                                    ZwReplaceKey
SSDT            F7CEBE7F                                                                                    ZwRestoreKey
SSDT            F7CEBE70                                                                                    ZwSetValueKey
 
---- Kernel code sections - GMER 1.0.15 ----
 
?               duki.sys                                                                                    Das System kann die angegebene Datei nicht finden. !
.rsrc           C:\WINXP\system32\DRIVERS\ssmdrv.sys                                                        entry point in ".rsrc" section [0xEE090C14]
 
---- User code sections - GMER 1.0.15 ----
 
.text           C:\WINXP\System32\svchost.exe[1076] ntdll.dll!NtProtectVirtualMemory                        7C91D6EE 5 Bytes  JMP 0091000A 
.text           C:\WINXP\System32\svchost.exe[1076] ntdll.dll!NtWriteVirtualMemory                          7C91DFAE 3 Bytes  JMP 0092000A 
.text           C:\WINXP\System32\svchost.exe[1076] ntdll.dll!NtWriteVirtualMemory + 4                      7C91DFB2 1 Byte  [84]
.text           C:\WINXP\System32\svchost.exe[1076] ntdll.dll!KiUserExceptionDispatcher                     7C91E47C 5 Bytes  JMP 0090000C 
.text           C:\WINXP\System32\svchost.exe[1076] USER32.dll!GetCursorPos                                 7E37974E 5 Bytes  JMP 0088000A 
.text           C:\WINXP\System32\svchost.exe[1076] ole32.dll!CoCreateInstance                              774D057E 5 Bytes  JMP 0087000A 
.text           C:\WINXP\Explorer.EXE[1448] ntdll.dll!NtProtectVirtualMemory                                7C91D6EE 5 Bytes  JMP 00B6000A 
.text           C:\WINXP\Explorer.EXE[1448] ntdll.dll!NtWriteVirtualMemory                                  7C91DFAE 5 Bytes  JMP 00BC000A 
.text           C:\WINXP\Explorer.EXE[1448] ntdll.dll!KiUserExceptionDispatcher                             7C91E47C 5 Bytes  JMP 00B5000C 
 
---- User IAT/EAT - GMER 1.0.15 ----
 
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress]           [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]     [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\WINXP\Explorer.EXE[1448] @ C:\WINXP\system32\psapi.dll [KERNEL32.dll!GetProcAddress]     [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
 
---- Devices - GMER 1.0.15 ----
 
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                   Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                    fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 
Device           -> \Driver\nvata \Device\Harddisk0\DR0                                                     855B5AC8
 
---- Files - GMER 1.0.15 ----
 
File            C:\WINXP\system32\DRIVERS\ssmdrv.sys                                                        suspicious modification
File            C:\WINXP\system32\drivers\nvata.sys                                                         suspicious modification
 
---- EOF - GMER 1.0.15 ----
         
__________________

Alt 25.04.2010, 02:23   #4
stonecoldbus
 
Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall - Standard

Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall



3. Und die OTL-Logs:
Einmal OTL.txt:
Code:
ATTFilter
 OTL logfile created on: 24.04.2010 21:31:29 - Run 1
OTL by OldTimer - Version 3.2.2.0     Folder = C:\Dokumente und Einstellungen\XXX\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 588,00 Mb Available Physical Memory | 57,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 16,85 Gb Free Space | 69,00% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 50,11 Gb Total Space | 17,12 Gb Free Space | 34,17% Space Free | Partition Type: NTFS
Drive F: | 931,28 Gb Total Space | 54,13 Gb Free Space | 5,81% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: BIE
Current User Name: XXX
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2010.04.24 21:30:33 | 000,562,688 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XXX\Desktop\OTL.exe
PRC - [2010.04.23 02:09:02 | 000,818,256 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
PRC - [2010.04.23 02:09:01 | 001,265,264 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
PRC - [2010.04.21 17:27:04 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.02 10:28:23 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 09:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008.07.01 11:32:36 | 001,937,408 | ---- | M] () -- C:\Programme\NETGEAR\WG111v3\WG111v3.exe
PRC - [2008.04.14 12:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINXP\explorer.exe
PRC - [2005.10.24 15:12:06 | 001,024,000 | ---- | M] (TECOM) -- C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
PRC - [2005.04.15 05:01:46 | 000,077,824 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINXP\SOUNDMAN.EXE
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.04.24 21:30:33 | 000,562,688 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XXX\Desktop\OTL.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010.04.23 02:09:01 | 001,265,264 | ---- | M] (Lavasoft) [Auto | Running] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2010.04.21 17:27:04 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.02.24 09:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.12.18 01:56:19 | 000,068,096 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2005.11.17 16:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.04.24 21:15:29 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.03.01 09:05:19 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.02.16 13:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.02.04 17:53:02 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINXP\system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 23:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2007.12.28 16:02:12 | 000,287,232 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\wg111v3.sys -- (RTL8187B)
DRV - [2005.12.10 02:07:59 | 000,027,392 | ---- | M] (Line 6) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\l6dp.sys -- (L6DP)
DRV - [2005.12.10 02:06:25 | 000,393,216 | ---- | M] (Line 6) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\L6TPortA.sys -- (L6TPortA)
DRV - [2005.11.10 21:51:44 | 001,396,224 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005.10.19 09:20:30 | 000,357,792 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\PRISMA02.sys -- (PRISM_A02)
DRV - [2005.09.14 20:13:04 | 000,166,400 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\atinevxx.sys -- (atinevxx)
DRV - [2005.09.14 20:11:56 | 000,015,360 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\atinmdxx.sys -- (MVDCODEC)
DRV - [2005.05.17 11:45:08 | 000,092,800 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINXP\system32\DRIVERS\nvata.sys -- (nvata)
DRV - [2005.04.19 04:40:52 | 002,317,504 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2005.04.05 21:22:30 | 000,012,928 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2005.04.05 21:22:28 | 000,033,536 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2004.08.13 04:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2002.05.02 13:52:22 | 000,017,134 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\PCANDIS5.SYS -- (PCANDIS5)
DRV - [2001.08.17 13:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\msmpu401.sys -- (ms_mpu401)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = A8 3F 6F 0F 6C 7F CA 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Search Files"
FF - prefs.js..browser.startup.homepage: "hxxp://www.laut.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: contact@searchfiles.de:1.3
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.02.19 20:44:10 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.03.31 14:45:04 | 000,000,000 | ---D | M]
 
[2009.12.18 02:30:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Extensions
[2010.07.22 23:44:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\kthfq33z.default\extensions
[2009.12.21 20:30:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\kthfq33z.default\extensions\contact@searchfiles.de
[2010.07.22 23:44:40 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.12.21 07:47:02 | 000,063,488 | ---- | M] (Nullsoft) -- C:\Programme\Mozilla Firefox\plugins\npwachk.dll
[2010.01.07 23:18:12 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.07 23:18:12 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.07 23:18:12 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.07 23:18:12 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.07 23:18:12 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 12:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [SoundMan] C:\WINXP\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG111v3 Setup-Assistent.lnk = C:\Programme\NETGEAR\WG111v3\WG111v3.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\Autostart\Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe (TECOM)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: line6.net ([]* in Trusted sites)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.12.17 23:54:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007.07.17 17:40:58 | 000,000,000 | ---D | M] - F:\autorun -- [ FAT32 ]
O32 - AutoRun File - [2002.10.17 09:56:50 | 000,000,036 | RH-- | M] () - F:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{2f350fbf-eb5c-11de-9de2-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{2f350fbf-eb5c-11de-9de2-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2f350fbf-eb5c-11de-9de2-806d6172696f}\Shell\AutoRun\command - "" = G:\INSTALL.EXE -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINXP\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias - C:\WINXP\system32\ias [2009.12.17 23:53:46 | 000,000,000 | ---D | M]
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: Sharedaccess -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: SSHNAS -  File not found
Unable to start service SrService!
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.04.24 21:30:30 | 000,562,688 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XXX\Desktop\OTL.exe
[2010.04.23 16:21:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.04.23 16:10:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Real
[2010.04.23 15:58:39 | 000,000,000 | ---D | C] -- C:\Programme\001 HT
[2010.04.23 02:09:42 | 000,064,288 | ---- | C] (Lavasoft AB) -- C:\WINXP\System32\drivers\Lbd.sys
[2010.04.23 02:09:41 | 000,000,000 | ---D | C] -- C:\WINXP\System32\DRVSTORE
[2010.04.23 02:09:37 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINXP\System32\drivers\SBREDrv.sys
[2010.04.23 02:06:07 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
[2010.04.23 02:05:51 | 000,000,000 | ---D | C] -- C:\Programme\Lavasoft
[2010.04.23 02:05:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2010.04.23 02:04:33 | 092,489,888 | ---- | C] (AVG Technologies) -- C:\Dokumente und Einstellungen\XXX\Desktop\bla.exe
[2010.04.23 01:25:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\XXX\Recent
[2010.04.22 17:16:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Desktop\Schutzprogramme
[2010.04.22 02:56:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Eigene Dateien\CCleaner Registries
[2010.04.22 02:40:25 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.04.22 01:48:17 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Settings
[2010.04.21 18:16:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
[2010.04.21 18:16:11 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2010.04.21 18:16:08 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2010.04.21 18:16:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.21 18:16:07 | 000,000,000 | ---D | C] -- C:\Programme\herbert
[2010.04.21 15:57:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.04.21 15:56:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.04.04 12:06:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Avira
[2010.03.31 14:46:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.03.30 15:46:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Desktop\Zusammenfassung Neurophysiologie + E-mail-Text
[2010.03.20 20:57:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Identities
[2010.02.19 19:30:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Desktop\jonas und mein shit
[2010.02.13 21:16:20 | 000,000,000 | ---D | C] -- C:\Programme\Audacity
[2010.02.02 18:33:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Ahead
[2010.01.31 17:24:26 | 000,000,000 | ---D | C] -- C:\Programme\QIP
[2010.01.26 19:31:30 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\xing shared
[2010.01.26 19:31:18 | 000,278,528 | ---- | C] (Real Networks, Inc) -- C:\WINXP\System32\pncrt.dll
[2010.01.26 19:31:17 | 000,000,000 | ---D | C] -- C:\Programme\Real
[2010.01.26 19:31:17 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Real
[2010.01.26 19:31:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real
[2010.01.26 19:31:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Real
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files - Modified Within 90 Days ==========
 
[2010.04.24 21:30:33 | 000,562,688 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XXX\Desktop\OTL.exe
[2010.04.24 21:25:42 | 000,000,470 | ---- | M] () -- C:\WINXP\tasks\Ad-Aware Update (Weekly).job
[2010.04.24 21:24:00 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT
[2010.04.24 21:23:57 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010.04.24 21:23:16 | 005,767,168 | -H-- | M] () -- C:\Dokumente und Einstellungen\XXX\NTUSER.DAT
[2010.04.24 21:23:16 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\XXX\ntuser.ini
[2010.04.24 21:22:40 | 000,032,768 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\post bei trojanerboard.doc
[2010.04.24 21:15:29 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\WINXP\System32\drivers\ssmdrv.sys
[2010.04.24 19:12:56 | 000,115,200 | ---- | M] () -- C:\Dokumente und Einstellungen\v\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.24 19:12:56 | 000,000,116 | ---- | M] () -- C:\WINXP\NeroDigital.ini
[2010.04.23 16:02:16 | 000,002,515 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\HT.lnk
[2010.04.23 02:10:04 | 092,489,888 | ---- | M] (AVG Technologies) -- C:\Dokumente und Einstellungen\XXX\Desktop\bla.exe
[2010.04.23 02:09:36 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINXP\System32\drivers\SBREDrv.sys
[2010.04.23 02:09:33 | 000,015,880 | ---- | M] () -- C:\WINXP\System32\lsdelete.exe
[2010.04.23 02:06:07 | 000,000,853 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.04.23 01:12:38 | 000,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\jhg.exe
[2010.04.22 01:43:44 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\iExplore.exe
[2010.04.17 20:05:16 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2010.04.15 20:33:51 | 000,027,136 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Infos Mottowoche.doc
[2010.04.04 12:54:32 | 000,209,818 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Eigene Dateien\rockin.m3u
[2010.04.04 12:54:28 | 000,209,818 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Eigene Dateien\rockinsicher.m3u
[2010.03.31 18:09:14 | 000,003,602 | ---- | M] () -- C:\WINXP\CDPlayer.ini
[2010.03.29 23:29:05 | 000,040,412 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Harry Potter und der Orden des Phönix.wpl
[2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2010.03.29 08:41:19 | 000,898,018 | ---- | M] () -- C:\WINXP\System32\PerfStringBackup.INI
[2010.03.29 08:41:19 | 000,391,000 | ---- | M] () -- C:\WINXP\System32\perfh007.dat
[2010.03.29 08:41:19 | 000,380,350 | ---- | M] () -- C:\WINXP\System32\perfh009.dat
[2010.03.29 08:41:19 | 000,063,580 | ---- | M] () -- C:\WINXP\System32\perfc007.dat
[2010.03.29 08:41:19 | 000,052,764 | ---- | M] () -- C:\WINXP\System32\perfc009.dat
[2010.03.23 18:57:43 | 000,430,080 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Neurophysiologie 1.doc
[2010.03.23 01:17:18 | 000,002,505 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Microsoft Office Word 2003.lnk
[2010.03.22 20:43:03 | 000,024,594 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Briefwechsel mit Fr. Benoit.doc
[2010.03.01 09:05:19 | 000,124,784 | ---- | M] (Avira GmbH) -- C:\WINXP\System32\drivers\avipbb.sys
[2010.02.17 13:47:00 | 000,022,016 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Antwort des Spiegels!.doc
[2010.02.16 13:24:01 | 000,060,936 | ---- | M] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntflt.sys
[2010.02.12 19:32:18 | 000,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Anfrage an Spiegel.doc
[2010.02.06 20:46:32 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\XXX\Desktop\steckbrief XXX.doc
[2010.02.04 17:53:02 | 000,064,288 | ---- | M] (Lavasoft AB) -- C:\WINXP\System32\drivers\Lbd.sys
[2010.01.29 03:20:13 | 002,543,410 | -H-- | M] () -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.01.26 19:31:18 | 000,278,528 | ---- | M] (Real Networks, Inc) -- C:\WINXP\System32\pncrt.dll
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.04.24 19:48:34 | 000,032,768 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\post bei trojanerboard.doc
[2010.04.23 15:59:46 | 000,002,515 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\HT.lnk
[2010.04.23 03:17:11 | 000,015,880 | ---- | C] () -- C:\WINXP\System32\lsdelete.exe
[2010.04.23 02:11:15 | 000,000,470 | ---- | C] () -- C:\WINXP\tasks\Ad-Aware Update (Weekly).job
[2010.04.23 02:06:07 | 000,000,853 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.04.23 01:12:38 | 000,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\jhg.exe
[2010.04.22 01:43:43 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\iExplore.exe
[2010.04.09 14:58:16 | 000,027,136 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Infos Mottowoche.doc
[2010.03.28 10:09:41 | 000,040,412 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Harry Potter und der Orden des Phönix.wpl
[2010.03.23 02:07:29 | 000,430,080 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Neurophysiologie 1.doc
[2010.02.17 13:46:47 | 000,022,016 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Antwort des Spiegels!.doc
[2010.02.12 18:53:36 | 000,022,528 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Desktop\Anfrage an Spiegel.doc
[2010.01.22 18:24:19 | 000,354,816 | ---- | C] () -- C:\WINXP\System32\psisdecd.dll
[2010.01.20 15:58:07 | 000,000,116 | ---- | C] () -- C:\WINXP\NeroDigital.ini
[2009.12.25 20:50:03 | 000,003,602 | ---- | C] () -- C:\WINXP\CDPlayer.ini
[2009.12.23 15:28:17 | 000,021,840 | ---- | C] () -- C:\WINXP\System32\SIntfNT.dll
[2009.12.23 15:28:17 | 000,017,212 | ---- | C] () -- C:\WINXP\System32\SIntf32.dll
[2009.12.23 15:28:17 | 000,012,067 | ---- | C] () -- C:\WINXP\System32\SIntf16.dll
[2009.12.21 20:08:13 | 000,120,200 | ---- | C] () -- C:\WINXP\System32\DLLDEV32i.dll
[2009.12.21 20:05:28 | 000,000,000 | ---- | C] () -- C:\WINXP\MusicStudio.INI
[2009.12.21 20:04:55 | 000,053,248 | ---- | C] () -- C:\WINXP\System32\mgxasio2.dll
[2009.12.21 20:03:30 | 000,006,211 | ---- | C] () -- C:\WINXP\mgxoschk.ini
[2009.12.18 01:44:50 | 000,000,394 | ---- | C] () -- C:\WINXP\ODBC.INI
[2009.12.18 01:13:03 | 000,001,816 | ---- | C] () -- C:\WINXP\ATICIM.INI
[2009.12.18 01:10:30 | 000,000,266 | R--- | C] () -- C:\WINXP\System32\raidmgmt.ini
[2009.12.18 00:03:50 | 000,000,164 | ---- | C] () -- C:\WINXP\avrack.ini
[2009.12.18 00:03:46 | 000,156,672 | ---- | C] () -- C:\WINXP\System32\RTLCPAPI.dll
[2009.12.18 00:03:08 | 000,005,685 | ---- | C] () -- C:\WINXP\Ascd_tmp.ini
[2009.12.18 00:03:06 | 000,005,810 | R--- | C] () -- C:\WINXP\System32\drivers\ASACPI.sys
[2009.12.18 00:03:03 | 000,005,824 | ---- | C] () -- C:\WINXP\System32\drivers\ASUSHWIO.SYS
 
========== LOP Check ==========
 
[2009.12.21 20:09:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2010.04.23 02:06:08 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
[2009.12.24 03:33:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\dBpoweramp
[2010.01.13 02:04:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQ
[2010.01.08 01:43:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Line 6
[2010.04.24 21:25:42 | 000,000,470 | ---- | M] () -- C:\WINXP\Tasks\Ad-Aware Update (Weekly).job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2009.12.08 19:23:56 | 017,816,136 | ---- | M] () .cab file -- C:\WINXP\Driver Cache\i386\sp3.cab:AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2009.12.08 19:23:56 | 017,816,136 | ---- | M] () .cab file -- C:\WINXP\Driver Cache\i386\sp3.cab:atapi.sys
[2008.04.14 12:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINXP\system32\drivers\atapi.sys
[2008.04.14 12:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINXP\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
[2008.04.14 12:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINXP\system32\ReinstallBackups\0002\DriverFiles\i386\atapi.sys
[2008.04.14 12:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINXP\system32\ReinstallBackups\0003\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 12:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINXP\system32\dllcache\eventlog.dll
[2008.04.14 12:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINXP\system32\eventlog.dll
 
< MD5 for: FTDISK.SYS  >
[2008.04.14 12:00:00 | 000,126,336 | ---- | M] (Microsoft Corporation) MD5=8F1955CE42E1484714B542F341647778 -- C:\WINXP\system32\drivers\ftdisk.sys
 
< MD5 for: NDIS.SYS  >
[2008.04.14 12:00:00 | 000,182,656 | ---- | M] (Microsoft Corporation) MD5=1DF7F42665C94B825322FAE71721130D -- C:\WINXP\system32\dllcache\ndis.sys
[2008.04.14 12:00:00 | 000,182,656 | ---- | M] (Microsoft Corporation) MD5=1DF7F42665C94B825322FAE71721130D -- C:\WINXP\system32\drivers\ndis.sys
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 12:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINXP\system32\dllcache\netlogon.dll
[2008.04.14 12:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINXP\system32\netlogon.dll
 
< MD5 for: NVATA.SYS  >
[2005.05.17 11:45:08 | 000,092,800 | R--- | M] (NVIDIA Corporation) MD5=DCE353985C988BFB7E84FD942068151F -- C:\WINXP\system32\drivers\nvata.sys
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 12:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINXP\system32\dllcache\scecli.dll
[2008.04.14 12:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINXP\system32\scecli.dll
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[2009.08.03 20:28:46 | 000,348,160 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINXP\system32\dxtmsft.dll
[2009.08.03 20:28:46 | 000,216,064 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINXP\system32\dxtrans.dll
[2009.12.08 19:15:31 | 000,184,320 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINXP\system32\iepeers.dll
[1 C:\WINXP\system32\*.tmp files -> C:\WINXP\system32\*.tmp -> ]
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav  >
[2009.12.18 00:41:57 | 000,094,208 | ---- | M] () -- C:\WINXP\system32\config\default.sav
[2009.12.18 00:41:57 | 001,093,632 | ---- | M] () -- C:\WINXP\system32\config\software.sav
[2009.12.18 00:41:57 | 000,458,752 | ---- | M] () -- C:\WINXP\system32\config\system.sav
< End of report >
         

Alt 25.04.2010, 02:28   #5
stonecoldbus
 
Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall - Standard

Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall



"Extras.txt" scheint zu groß für einen Eintrag zu sein, deswegen teile ich diesen Log auf.
Teil 1 von "Extras.txt":
Code:
ATTFilter
 OTL Extras logfile created on: 24.04.2010 21:31:29 - Run 1
OTL by OldTimer - Version 3.2.2.0     Folder = C:\Dokumente und Einstellungen\XXX\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 588,00 Mb Available Physical Memory | 57,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 16,85 Gb Free Space | 69,00% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 50,11 Gb Total Space | 17,12 Gb Free Space | 34,17% Space Free | Partition Type: NTFS
Drive F: | 931,28 Gb Total Space | 54,13 Gb Free Space | 5,81% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: BIE
Current User Name: XXX
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 15
"{2E97F7E8-ABDE-4E0D-B0AD-B6B4BAD89E24}" = Rome - Total War - Gold Edition
"{338F08AB-C262-42C7-B000-34DE1A475273}" = Ad-Aware Email Scanner for Outlook
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}" = ATI HydraVision
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{5396FBD8-8BD7-47F9-92AE-F62F13D5A11D}" = NETGEAR WG111v3 wireless USB 2.0 adapter
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AB947851-5B71-4AFD-AA05-A0685938EE34}" = Sinus 154 stick
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{EFB21DE7-8C19-4A88-BB28-A766E16493BC}" = Adobe Photoshop CS
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Audacity_is1" = Audacity 1.2.6
"Audiograbber" = Audiograbber 1.83 SE 
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Firebird SQL Server US" = Firebird SQL Server - MAGIX Edition
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2
"GearBox 1.02" = GearBox 1.02 (Remove Only)
"Guitar Pro 5_is1" = Guitar Pro 5.2
"InstallShield_{5396FBD8-8BD7-47F9-92AE-F62F13D5A11D}" = NETGEAR WG111v3 wireless USB 2.0 adapter
"InstallShield_{AB947851-5B71-4AFD-AA05-A0685938EE34}" = Sinus 154 stick
"JDownloader" = JDownloader
"MAGIX Music Studio 2007 deluxe D" = MAGIX Music Studio 2007 deluxe (D)
"MAGIX Screenshare US" = MAGIX Screenshare 4.3.6.1987 (US)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.5.8)" = Mozilla Firefox (3.5.8)
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NVIDIA Drivers" = NVIDIA Drivers
"RealPlayer 12.0" = RealPlayer
"Samplitude Music Studio 15 Trial US" = Samplitude Music Studio 15 Trial 15.0.1.0 (US)
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.3
"Winamp" = Winamp
"WinRAR archiver" = WinRAR archiver
         


Alt 25.04.2010, 02:43   #6
stonecoldbus
 
Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall - Standard

Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall



Gut, wie ich gerade ernüchtert feststelle, bin ich selbst mit dem Posten von Beiträgen offenkundig überfordert. Mein Browser scheint sich an irgendetwas im zweiten Teil des "Extras"-Logs zu stoßen; jedenfalls werde ich bei allen Versuchen, letzteren zu posten, benachrichtigt, dass die "Verbindung fehlgeschlagen" sei. Ich kann es mir ehrlich gesagt nicht erklären.

Alt 25.04.2010, 14:55   #7
Sion
 
Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall - Standard

Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall



Du hast den neuen tdss-Rootkit auf dem Rechner, da kann sowas schon mal vorkommen.

1. Starte OTL.
Klicke auf None.
Kopiere unten in das Skript-Feld rein:

Zitat:
/md5start
ssmdrv.sys
nvata.sys
/md5stop
Klicke auf Run Scan und poste die Otl.txt

Alt 26.04.2010, 22:56   #8
stonecoldbus
 
Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall - Standard

Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall



Hier ist der Log:
Code:
ATTFilter
OTL logfile created on: 26.04.2010 23:53:41 - Run 2
OTL by OldTimer - Version 3.2.2.0     Folder = C:\Dokumente und Einstellungen\Jens\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 508,00 Mb Available Physical Memory | 50,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 72,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 16,73 Gb Free Space | 68,51% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 50,11 Gb Total Space | 17,12 Gb Free Space | 34,17% Space Free | Partition Type: NTFS
Drive F: | 931,28 Gb Total Space | 54,12 Gb Free Space | 5,81% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: BIE
Current User Name: XXX
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Custom Scans ==========
 
 
 
< MD5 for: NVATA.SYS  >
[2005.05.17 11:45:08 | 000,092,800 | R--- | M] (NVIDIA Corporation) MD5=DCE353985C988BFB7E84FD942068151F -- C:\WINXP\system32\drivers\nvata.sys
 
< MD5 for: SSMDRV.SYS  >
[2010.04.24 21:15:29 | 000,028,520 | ---- | M] (Avira GmbH) MD5=A36EE93698802CD899F98BFD553D8185 -- C:\WINXP\system32\drivers\ssmdrv.sys
< End of report >
         
Brauchst Du nicht noch die Reste des alten "Extras"-Logs ^^?

Alt 26.04.2010, 23:27   #9
Sion
 
Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall - Standard

Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall



Zitat:
Brauchst Du nicht noch die Reste des alten "Extras"-Logs ^^?
Im Moment nicht das größte Problem. Interessant ist das Ganze aber schon. Siehst du dort irgendeine URL, also Internetadresse in dem Teil des Logs, das sich nicht posten lässt? Bei einem anderen User ziert sich anscheinend genau so eine URL.

Ist aber erstmal egal, weiter mit:

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Den Leitfaden genau beachten und befolgen, ComboFix versteht kein Spaß.
Poste anschließend das ComboFix-Log.

Antwort

Themen zu Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall
ad-aware, adobe, antimalware doctor, antivir, antivir guard, avira, browseui preloader, desktop, einstellungen, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, logfile, magix, mozilla, netgear, nicht angezeigt, pc läuft, problem, rundll, server, software, stick, windows, windows firewall, windows xp, wlan



Ähnliche Themen: Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall


  1. Positive Finds Ads Malware - Problem mit der Entfernung
    Plagegeister aller Art und deren Bekämpfung - 07.02.2015 (13)
  2. Nach Virenbefall und Entfernung ist Windows Firewall inaktiv
    Plagegeister aller Art und deren Bekämpfung - 08.11.2012 (20)
  3. DLL-Fehler nach Polizei-Malware Entfernung mit Kaspersky Rescue Disk 10
    Log-Analyse und Auswertung - 07.11.2012 (10)
  4. Bundespolizei Trojaner nach Entfernung mit Malware hängt PC Immernoch und Windows Explorer kaputt
    Log-Analyse und Auswertung - 21.07.2012 (6)
  5. Nach Entfernung SecurityShield keine Windows Firewall-Aktivierung mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 29.12.2011 (13)
  6. Nach Entfernung von Windows Recovery Virus noch Reste in der Registry
    Plagegeister aller Art und deren Bekämpfung - 09.07.2011 (9)
  7. Problem nach entfernung des Windows Recovery Virus :(
    Plagegeister aller Art und deren Bekämpfung - 11.06.2011 (5)
  8. Antimalware Doctor nach Malwarebytes Anti Malware Durchlauf noch da
    Log-Analyse und Auswertung - 03.10.2010 (1)
  9. Antimalware Doctor. Nach Anti-Malware Rechner weiterhin infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.09.2010 (1)
  10. Antimalware Doctor - Probleme mit System trotz Entfernung durch Anti Malware
    Plagegeister aller Art und deren Bekämpfung - 24.08.2010 (9)
  11. Abstürze nach Entfernung von Antimalware Doctor
    Plagegeister aller Art und deren Bekämpfung - 13.05.2010 (13)
  12. Windows XP SP3 Antimalware Doctor Entfernung erfolgreich?
    Log-Analyse und Auswertung - 12.05.2010 (9)
  13. Antimalware Doctor erfolgreich gelöscht - Reste machen große Probleme
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (14)
  14. Antimalware Doctor Problem bei Entfernung und Log Auswertung
    Plagegeister aller Art und deren Bekämpfung - 03.05.2010 (18)
  15. Log prüfen nach Entfernung von "XP Antimalware" - Danke
    Log-Analyse und Auswertung - 16.04.2010 (1)
  16. Antimalware Doctor + (evtl weitere Schädlinge?) Reste entfernen
    Log-Analyse und Auswertung - 10.04.2010 (11)
  17. Computer nach Malware-Entfernung immer noch langsam
    Log-Analyse und Auswertung - 21.03.2010 (1)

Zum Thema Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall - Hi Leute. Auch ich habe mir vor 2 oder 3 Tagen den Antimalware Doctor eingefangen. Ich bin nach einer Google-Suche zu dem Thema direkt auf dieses Forum gestoßen und habe - Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall...
Archiv
Du betrachtest: Malware-Reste nach Entfernung des Antimalware Doctors? Problem u.a.: Windows Firewall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.