Firefox öffnet neue Tabs

Kanrei · 29.04.2010, 13:14

So ich hoffe, dass ich alles richtig gemacht habe.
VirusTotal
Datei spmsg.dll empfangen 2010.04.29 09:54:39 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.29 -
AhnLab-V3 5.0.0.2 2010.04.29 -
AntiVir 8.2.1.224 2010.04.29 -
Antiy-AVL 2.0.3.7 2010.04.29 -
Authentium 5.2.0.5 2010.04.29 -
Avast 4.8.1351.0 2010.04.29 -
Avast5 5.0.332.0 2010.04.29 -
AVG 9.0.0.787 2010.04.29 -
BitDefender 7.2 2010.04.29 -
CAT-QuickHeal 10.00 2010.04.29 -
ClamAV 0.96.0.3-git 2010.04.29 -
Comodo 4710 2010.04.29 -
DrWeb 5.0.2.03300 2010.04.29 -
eSafe 7.0.17.0 2010.04.28 -
eTrust-Vet 35.2.7457 2010.04.29 -
F-Prot 4.5.1.85 2010.04.28 -
F-Secure 9.0.15370.0 2010.04.29 -
Fortinet 4.0.14.0 2010.04.27 -
GData 21 2010.04.29 -
Ikarus T3.1.1.80.0 2010.04.29 -
Jiangmin 13.0.900 2010.04.29 -
Kaspersky 7.0.0.125 2010.04.29 -
McAfee 5.400.0.1158 2010.04.29 -
McAfee-GW-Edition 6.8.5 2010.04.29 -
Microsoft 1.5703 2010.04.29 -
NOD32 5071 2010.04.29 -
Norman 6.04.12 2010.04.29 -
nProtect 2010-04-29.01 2010.04.29 -
Panda 10.0.2.7 2010.04.28 -
PCTools 7.0.3.5 2010.04.29 -
Prevx 3.0 2010.04.29 -
Rising 22.45.03.03 2010.04.29 -
Sophos 4.53.0 2010.04.29 -
Sunbelt 6235 2010.04.28 -
Symantec 20091.2.0.41 2010.04.29 -
TheHacker 6.5.2.0.272 2010.04.28 -
TrendMicro 9.120.0.1004 2010.04.29 -
TrendMicro-HouseCall 9.120.0.1004 2010.04.29 -
VBA32 3.12.12.4 2010.04.28 -
ViRobot 2010.4.27.2295 2010.04.28 -
VirusBuster 5.0.27.0 2010.04.28 -
weitere Informationen
File size: 14640 bytes
MD5...: d0ab8b441ebad7ffc4f1cc4890e35a9b
SHA1..: c5b28fb1e3ba89abf6b3d01cb0ed5fd48b64fd64
SHA256: 721ce6dad3d531b76654b634ca22c3e4e3e3b253853998820792fcd724550b80
ssdeep: 192:m3W0doplWpQdvz9L/CldolMGoVOu39DKmHj78Rmw:m3W027WpQdvz9LCcM4a
eWqm
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x0
timedatestamp.....: 0x44f34fa1 (Mon Aug 28 20:18:41 2006)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.rsrc 0x1000 0x1668 0x1800 3.38 ccda754b564b442f437001ef80283396
.reloc 0x3000 0x8 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Service Pack Messages
original name: spmsg.dll
internal name: spmsg.dll
file version.: 6.3.0003.0 built by: dnsrv
comments.....: n/a
signers......: Microsoft Corporation
Microsoft Code Signing PCA
Microsoft Root Authority
signing date.: 12:10 AM 8/29/2006
verified.....: -

Datei 573a7314.exe empfangen 2010.04.29 09:58:42 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/41 (7.32%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.29 -
AhnLab-V3 5.0.0.2 2010.04.29 -
AntiVir 8.2.1.224 2010.04.29 -
Antiy-AVL 2.0.3.7 2010.04.29 -
Authentium 5.2.0.5 2010.04.29 -
Avast 4.8.1351.0 2010.04.29 -
Avast5 5.0.332.0 2010.04.29 -
AVG 9.0.0.787 2010.04.29 -
BitDefender 7.2 2010.04.29 -
CAT-QuickHeal 10.00 2010.04.29 -
ClamAV 0.96.0.3-git 2010.04.29 -
Comodo 4710 2010.04.29 -
DrWeb 5.0.2.03300 2010.04.29 -
eSafe 7.0.17.0 2010.04.28 -
eTrust-Vet 35.2.7457 2010.04.29 -
F-Prot 4.5.1.85 2010.04.28 -
F-Secure 9.0.15370.0 2010.04.29 -
Fortinet 4.0.14.0 2010.04.27 -
GData 21 2010.04.29 -
Ikarus T3.1.1.80.0 2010.04.29 -
Jiangmin 13.0.900 2010.04.29 -
Kaspersky 7.0.0.125 2010.04.29 -
McAfee 5.400.0.1158 2010.04.29 -
McAfee-GW-Edition 6.8.5 2010.04.29 -
Microsoft 1.5703 2010.04.29 -
NOD32 5071 2010.04.29 -
Norman 6.04.12 2010.04.29 W32/AdSpy.Q
nProtect 2010-04-29.01 2010.04.29 -
Panda 10.0.2.7 2010.04.28 Suspicious file
PCTools 7.0.3.5 2010.04.29 -
Prevx 3.0 2010.04.29 High Risk Cloaked Malware
Rising 22.45.03.03 2010.04.29 -
Sophos 4.53.0 2010.04.29 -
Sunbelt 6235 2010.04.28 -
Symantec 20091.2.0.41 2010.04.29 -
TheHacker 6.5.2.0.272 2010.04.28 -
TrendMicro 9.120.0.1004 2010.04.29 -
TrendMicro-HouseCall 9.120.0.1004 2010.04.29 -
VBA32 3.12.12.4 2010.04.28 -
ViRobot 2010.4.27.2295 2010.04.28 -
VirusBuster 5.0.27.0 2010.04.28 -
weitere Informationen
File size: 96704 bytes
MD5...: 9db5904ea8160a2abdc888dc0e8551c4
SHA1..: 824d250341b2da6c46761481cf4a03fb50fb1992
SHA256: b5fb11df4710af9148f2f28f360dea16545f84086caef9baab9810c9279f404a
ssdeep: 1536:zQpQ5EP0ijnRTXJR7gDCbWxZmZBkWorZFuZ19SlfM03aFHQPisDV4wvC:zQ
IURTXJR7gWb7IW+FuZ1c5D3aYDuwvC
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x323c
timedatestamp.....: 0x4a2ae2a2 (Sat Jun 06 21:41:54 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5a5a 0x5c00 6.42 0bc2ffd32265a08d72b795b18265828d
.rdata 0x7000 0x1190 0x1200 5.18 f179218a059068529bdb4637ef5fa28e
.data 0x9000 0x1af98 0x400 4.71 975304d6dd6c4a4f076b15511e2bbbc0
.ndata 0x24000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x2f000 0x980 0xa00 4.62 6cb714d5cab8244c11b7b22ed80c2916

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
<a href='hxxp://info.prevx.com/aboutprogramtext.asp?PX5=946B7326C072257B792201D33F4F7B003BACB22F' target='_blank'>hxxp://info.prevx.com/aboutprogramtext.asp?PX5=946B7326C072257B792201D33F4F7B003BACB22F</a>
packers (F-Prot): NSIS

Datei rptweuxogeiuoe.exe empfangen 2010.04.29 10:00:31 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.29 -
AhnLab-V3 5.0.0.2 2010.04.29 -
AntiVir 8.2.1.224 2010.04.29 -
Antiy-AVL 2.0.3.7 2010.04.29 -
Authentium 5.2.0.5 2010.04.29 -
Avast 4.8.1351.0 2010.04.29 -
Avast5 5.0.332.0 2010.04.29 -
AVG 9.0.0.787 2010.04.29 -
BitDefender 7.2 2010.04.29 -
CAT-QuickHeal 10.00 2010.04.29 -
ClamAV 0.96.0.3-git 2010.04.29 -
Comodo 4710 2010.04.29 -
DrWeb 5.0.2.03300 2010.04.29 -
eSafe 7.0.17.0 2010.04.28 -
eTrust-Vet 35.2.7457 2010.04.29 -
F-Prot 4.5.1.85 2010.04.28 -
F-Secure 9.0.15370.0 2010.04.29 -
Fortinet 4.0.14.0 2010.04.27 -
GData 21 2010.04.29 -
Ikarus T3.1.1.80.0 2010.04.29 -
Jiangmin 13.0.900 2010.04.29 -
Kaspersky 7.0.0.125 2010.04.29 -
McAfee 5.400.0.1158 2010.04.29 -
McAfee-GW-Edition 6.8.5 2010.04.29 -
Microsoft 1.5703 2010.04.29 -
NOD32 5071 2010.04.29 -
Norman 6.04.12 2010.04.29 -
nProtect 2010-04-29.01 2010.04.29 -
Panda 10.0.2.7 2010.04.28 -
PCTools 7.0.3.5 2010.04.29 -
Prevx 3.0 2010.04.29 -
Rising 22.45.03.03 2010.04.29 -
Sophos 4.53.0 2010.04.29 -
Sunbelt 6235 2010.04.28 -
Symantec 20091.2.0.41 2010.04.29 -
TheHacker 6.5.2.0.272 2010.04.28 -
TrendMicro 9.120.0.1004 2010.04.29 -
TrendMicro-HouseCall 9.120.0.1004 2010.04.29 -
VBA32 3.12.12.4 2010.04.28 -
ViRobot 2010.4.27.2295 2010.04.28 -
VirusBuster 5.0.27.0 2010.04.28 -
weitere Informationen
File size: 50994 bytes
MD5...: ee12d6e3a4d8f1fd899e0c1d476d1642
SHA1..: 3fa01eb1e1b8ebc741aeeb55727da4e89f9612fb
SHA256: 0e3a19fc11ae945079aa2d725c85a1f4aba67a7e0b3141e68312be92f2ebf896
ssdeep: 1536:VSV8/DcCDCMMkG0DaXJp5nFd5SqwwbFh3vJsF:VS8BCfoDaXJp5XgqDBh3v
qF
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x325e
timedatestamp.....: 0x4b1ae3d2 (Sat Dec 05 22:50:58 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5dc8 0x5e00 6.51 e80992014f71a8d74a073aae70d08af5
.rdata 0x7000 0x129c 0x1400 5.05 c9f64a3006462e830a22bdd4740678e5
.data 0x9000 0x25c98 0x400 4.88 a81e24eb26c207ab205634c089d49bbd
.ndata 0x2f000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x3c000 0x9e8 0xa00 4.42 5dc1d2e44f72ef12149ee36f892fee1b

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
packers (F-Prot): NSIS

Avenger
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\573a7314.exe" deleted successfully.
File "C:\WINDOWS\system32\rptweuxogeiuoe.exe" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\r_line" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

OTL
OTL logfile created on: 29.04.2010 12:26:21 - Run 2
OTL by OldTimer - Version 3.2.3.0 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

255,00 Mb Total Physical Memory | 46,00 Mb Available Physical Memory | 18,00% Memory free
618,00 Mb Paging File | 282,00 Mb Available in Paging File | 46,00% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 16,60 Gb Total Space | 6,13 Gb Free Space | 36,93% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 43,41 Gb Free Space | 88,90% Space Free | Partition Type: NTFS
Drive E: | 49,06 Gb Total Space | 37,84 Gb Free Space | 77,14% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: HEIMPC
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc.)
PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe (SEIKO EPSON CORPORATION)
PRC - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe ()

========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\framedyn.dll (Microsoft Corporation)

========== Win32 Services (SafeList) ==========

SRV - (npkcmsvc) -- File not found
SRV - (HideMyIpSRV) -- File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (SecureSrv) -- C:\WINDOWS\system32\SecureSrv.log ()
SRV - (HRService) -- C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe ()
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (EPSONStatusAgent2) -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe (SEIKO EPSON CORPORATION)
SRV - (EpsonBidirectionalService) -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe ()

========== Driver Services (SafeList) ==========

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (taphss) -- C:\WINDOWS\system32\drivers\taphss.sys (AnchorFree Inc)
DRV - (tap0901) -- C:\WINDOWS\system32\drivers\tap0901.sys (The OpenVPN Project)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (Mkd2kfNt) -- C:\WINDOWS\system32\drivers\Mkd2kfNT.sys (AhnLab, Inc.)
DRV - (Mkd2Nadr) -- C:\WINDOWS\system32\drivers\Mkd2Nadr.sys (AhnLab, Inc.)
DRV - (StarOpen) -- C:\WINDOWS\system32\drivers\StarOpen.sys ()
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (tapvpn) -- C:\WINDOWS\system32\drivers\tapvpn.sys (The OpenVPN Project)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (RT25USBAP) -- C:\WINDOWS\system32\drivers\RT25USBAP.SYS (Ralink Technology Inc.)
DRV - (ss_mdm) -- C:\WINDOWS\system32\drivers\ss_mdm.sys (MCCI)
DRV - (ss_mdfl) -- C:\WINDOWS\system32\drivers\ss_mdfl.sys (MCCI)
DRV - (ss_bus) SAMSUNG Mobile USB Device 1.0 driver (WDM) -- C:\WINDOWS\system32\drivers\ss_bus.sys (MCCI)
DRV - (npkcrypt) -- C:\WINDOWS\system32\npkcrypt.dll (INCA Internet Co., Ltd.)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (viaagp1) -- C:\WINDOWS\system32\DRIVERS\viaagp1.sys (VIA Technologies, Inc.)
DRV - (V124) -- C:\WINDOWS\system32\drivers\HSF_V124.sys (Conexant)
DRV - (Tones) -- C:\WINDOWS\system32\drivers\HSF_TONE.sys (Conexant)
DRV - (hsf_msft) -- C:\WINDOWS\system32\drivers\HSF_MSFT.sys (Conexant)
DRV - (Rksample) -- C:\WINDOWS\system32\drivers\HSF_SAMP.sys (Conexant)
DRV - (K56) -- C:\WINDOWS\system32\drivers\HSF_K56K.sys (Conexant)
DRV - (Fallback) -- C:\WINDOWS\system32\drivers\HSF_FALL.sys (Conexant)
DRV - (SoftFax) -- C:\WINDOWS\system32\drivers\HSF_FAXX.sys (Conexant)
DRV - (Fsks) -- C:\WINDOWS\system32\drivers\HSF_FSKS.sys (Conexant)
DRV - (basic2) -- C:\WINDOWS\system32\drivers\HSF_BSC2.sys (Conexant)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Search
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = Reg Error: Unknown registry data type
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\Software\Microsoft\Internet Explorer\SearchURL\w, = Reg Error: Unknown registry data type

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Prev Search Page = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://de.yahoo.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = Reg Error: Unknown registry data type
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\Software\Microsoft\Internet Explorer\SearchURL\w, = Reg Error: Unknown registry data type
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll (Yahoo! Inc.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546
FF - prefs.js..extensions.enabledItems: {b7d6641f-d0f6-c70c-9397-cb7ac20b747e}:4.6.6.6
FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&q="

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.06 18:56:20 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.02 18:09:43 | 000,000,000 | ---D | M]

[2009.02.14 15:29:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.04.28 20:48:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\extensions
[2009.09.03 15:21:51 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.05.04 15:50:54 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010.03.24 13:50:15 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2009.12.16 15:35:14 | 000,000,917 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\searchplugins\conduit.xml
[2010.03.01 18:32:47 | 000,002,280 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\searchplugins\google-und-download-suche.xml
[2009.10.25 16:38:22 | 000,002,136 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\z7afh7e9.default\searchplugins\MyStart Search.xml
[2010.04.28 20:48:22 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.02.14 15:30:16 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.04.26 17:23:49 | 000,000,000 | ---D | M] (z) -- C:\Programme\Mozilla Firefox\extensions\{b7d6641f-d0f6-c70c-9397-cb7ac20b747e}
[2010.03.09 15:06:12 | 000,238,776 | ---- | M] (Pando Networks) -- C:\Programme\Mozilla Firefox\plugins\npPandoWebInst.dll
[2010.03.23 17:16:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.23 17:16:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.23 17:16:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.23 17:16:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.23 17:16:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

Hosts file not found
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll (Yahoo! Inc.)
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {65742936-8079-408B-9F3C-874B78030A72} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ContentTransferWMDetector.exe] C:\Programme\Sony\Content Transfer\ContentTransferWMDetector.exe (Sony Corporation)
O4 - HKLM..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WMC_AutoUpdate] File not found
O4 - HKLM..\Run: [YSearchProtection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc.)
O4 - HKCU..\Run: [BD] C:\Programme\IncrediMail\bin\IncMail.exe (IncrediMail, Ltd.)
O4 - HKCU..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe (IncrediMail, Ltd.)
O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Registrierungsprogramm ausführen.lnk = C:\Programme\WiFiConnector\NintendoWFCReg.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\PrxerNsp.dll ( )
O15 - HKCU\..Trusted Domains: ([]msn in My Computer)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.10.18 20:38:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.03.24 14:22:10 | 000,000,100 | ---- | M] () - E:\AUTORUN.INF -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYWAR~1\sp_rsdel.exe \??\C:\DOKUME~1\ALLUSE~1\ANWEND~1\SPYWAR~1\sp_rsdel.dat) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.04.29 12:25:38 | 000,563,712 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.04.29 12:07:15 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.04.28 16:34:57 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.04.28 11:22:14 | 000,014,640 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg.dll
[2010.04.25 19:50:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Garten
[2010.04.18 13:11:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\WinRAR
[2010.04.16 22:01:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Bakkushan
[2010.04.16 10:16:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\coredb
[2010.04.16 10:15:00 | 001,287,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ole32.dll
[2010.04.13 14:51:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\CDex_170b2
[2010.04.06 17:26:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.04.06 17:26:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.04.04 12:17:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avira
[2010.04.01 22:45:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.04.01 22:38:36 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.04.01 22:38:33 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.04.01 22:38:33 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.04.01 22:38:33 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.04.01 22:38:33 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.04.01 22:38:27 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.04.01 22:38:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.04.01 20:59:45 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.04.01 20:58:16 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.04.01 20:58:16 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.04.01 20:58:16 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.04.01 20:58:16 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.04.01 20:57:50 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2008.10.13 17:48:05 | 000,061,440 | ---- | C] ( ) -- C:\WINDOWS\System32\PrxerNsp.dll
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.04.29 12:25:39 | 000,563,712 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.04.29 12:22:38 | 000,000,431 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.ics
[2010.04.29 12:21:23 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.29 12:17:40 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.29 12:17:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.29 12:06:38 | 009,437,184 | ---- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.dat
[2010.04.29 12:06:38 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.04.29 12:03:52 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Avenger.exe
[2010.04.28 16:33:46 | 000,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
[2010.04.28 15:37:39 | 000,002,136 | ---- | M] () -- C:\WINDOWS\System32\mycom.crt
[2010.04.28 15:22:46 | 000,000,359 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Viren.lnk
[2010.04.28 11:21:39 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.04.28 11:21:39 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.04.26 10:52:05 | 000,052,224 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Protokoll Off-Versammlung 16.04.2010.doc
[2010.04.25 14:49:56 | 000,000,959 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.04.25 14:49:56 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2010.04.25 14:49:56 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.04.16 10:14:57 | 001,287,680 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ole32.dll
[2010.04.01 23:28:42 | 003,260,866 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.04.01 22:39:03 | 000,001,677 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.04.01 20:57:57 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deploytk.dll
[2010.04.01 20:57:57 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.04.01 20:57:57 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.04.01 20:57:57 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.04.01 20:57:57 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.04.29 12:03:51 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Avenger.exe
[2010.04.28 16:33:45 | 000,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
[2010.04.28 15:22:48 | 000,000,359 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Viren.lnk
[2010.04.26 20:38:33 | 000,052,224 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Protokoll Off-Versammlung 16.04.2010.doc
[2010.04.25 18:23:41 | 000,005,548 | ---- | C] () -- C:\Dokumente und Einstellungen\***\resetlog.txt
[2010.04.16 10:16:33 | 000,002,136 | ---- | C] () -- C:\WINDOWS\System32\mycom.crt
[2010.04.01 22:39:03 | 000,001,677 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2009.11.14 18:25:40 | 000,888,832 | ---- | C] () -- C:\WINDOWS\System32\securenet.dll
[2009.11.01 14:41:41 | 000,001,015 | ---- | C] () -- C:\WINDOWS\ATICIM.INI
[2009.05.02 16:58:37 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2009.03.08 15:51:20 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008.11.06 18:33:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2008.07.24 17:13:25 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2008.06.18 15:59:56 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.04.14 18:54:45 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2007.09.28 17:17:59 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\Unlha32.dll
[2007.09.28 17:17:58 | 000,473,600 | ---- | C] () -- C:\WINDOWS\System32\Harmony.dll
[2007.05.21 13:32:58 | 000,081,332 | ---- | C] () -- C:\WINDOWS\System32\bass.dll
[2007.02.24 18:41:55 | 000,003,038 | ---- | C] () -- C:\WINDOWS\tm.ini
[2006.03.12 17:31:47 | 000,000,086 | ---- | C] () -- C:\WINDOWS\WinFight.ini
[2005.11.11 14:46:28 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2005.02.26 12:35:43 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2005.01.07 23:19:30 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2005.01.02 16:52:19 | 000,000,152 | ---- | C] () -- C:\WINDOWS\MatheTiger3.ini
[2004.11.09 22:35:26 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2004.10.18 22:52:06 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\EEBAPI.dll
[2004.10.18 22:52:06 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\EEBDSCVR.dll
[2004.10.18 22:52:06 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\EBAPI.dll
[2004.10.18 21:42:24 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2004.10.18 21:35:23 | 000,028,672 | R--- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2004.10.18 21:35:21 | 001,892,352 | R--- | C] () -- C:\WINDOWS\System32\cmiwcnfg.dll
[2004.10.18 21:20:30 | 000,000,524 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2001.10.10 08:57:58 | 000,073,786 | ---- | C] () -- C:\WINDOWS\System32\dntvmc23.dll
[2001.10.10 08:57:58 | 000,061,497 | ---- | C] () -- C:\WINDOWS\System32\dntvm23.dll
[2001.03.07 08:02:30 | 000,229,431 | ---- | C] () -- C:\WINDOWS\System32\dnt23.dll

========== Alternate Data Streams ==========

@Alternate Data Stream - 147 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 114 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
@Alternate Data Stream - 114 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:53C9FE0C
@Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:F085C8A1
< End of report >

Kanrei · 29.04.2010, 13:15

Hier noch die anderen, die eben nicht gepasst haben.
OTL Etxtra
OTL Extras logfile created on: 29.04.2010 12:26:21 - Run 2
OTL by OldTimer - Version 3.2.3.0 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

255,00 Mb Total Physical Memory | 46,00 Mb Available Physical Memory | 18,00% Memory free
618,00 Mb Paging File | 282,00 Mb Available in Paging File | 46,00% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 16,60 Gb Total Space | 6,13 Gb Free Space | 36,93% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 43,41 Gb Free Space | 88,90% Space Free | Partition Type: NTFS
Drive E: | 49,06 Gb Total Space | 37,84 Gb Free Space | 77,14% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: HEIMPC
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"56397:TCP" = 56397:TCP:*:Enabled:Pando Media Booster
"56397:UDP" = 56397:UDP:*:Enabled:Pando Media Booster
"58043:TCP" = 58043:TCP:*:Enabled:Pando Media Booster
"58043:UDP" = 58043:UDP:*:Enabled:Pando Media Booster

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"56397:TCP" = 56397:TCP:*:Enabled:Pando Media Booster
"56397:UDP" = 56397:UDP:*:Enabled:Pando Media Booster
"58043:TCP" = 58043:TCP:*:Enabled:Pando Media Booster
"58043:UDP" = 58043:UDP:*:Enabled:Pando Media Booster
"56993:TCP" = 56993:TCP:*:Enabled:Pando Media Booster
"56993:UDP" = 56993:UDP:*:Enabled:Pando Media Booster
"58741:TCP" = 58741:TCP:*:Enabled:Pando Media Booster
"58741:UDP" = 58741:UDP:*:Enabled:Pando Media Booster

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\IncrediMail\bin\IMApp.exe" = C:\Programme\IncrediMail\bin\IMApp.exe:*:Enabled:IncrediMail -- (IncrediMail, Ltd.)
"C:\Programme\IncrediMail\bin\IncMail.exe" = C:\Programme\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail -- (IncrediMail, Ltd.)
"C:\Programme\IncrediMail\bin\ImpCnt.exe" = C:\Programme\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail -- (IncrediMail, Ltd.)
"C:\Dokumente und Einstellungen\***\Desktop\incredimail_install.exe" = C:\Dokumente und Einstellungen\***\Desktop\incredimail_install.exe:*:Enabled:IncrediMail Installer -- ()
"C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe" = C:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe:*:Enabled:NEXON_EU_Downloader_Engine -- ()
"E:\WonderKing\FLORA.exe" = E:\WonderKing\FLORA.exe:*:Enabled:FLORA.exe -- ()
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\NGM.exe" = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\NGM.exe:*:Enabled:Nexon Game Manager -- (Nexon)
"C:\Programme\WiFiConnector\NintendoWFCReg.exe" = C:\Programme\WiFiConnector\NintendoWFCReg.exe:*:Enabled:Nintendo Wi-Fi USB Connector -- ()
"C:\WINDOWS\Temp\wpv371271400438.exe" = C:\WINDOWS\Temp\wpv371271400438.exe:*:Disabled:Installer Application -- File not found
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\MapleStory.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\MapleStory.exe:*:Enabled:MapleStory Europe -- (Wizet)
"C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe" = C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe:*:Disabled:McAfee Network Agent -- File not found
"D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\ASPLnchr.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\ASPLnchr.exe:*:Enabled:ASPLnchr.exe -- (AhnLab, Inc.)
"D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Patcher.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Patcher.exe:*:Enabled:Patcher.exe -- ()
"D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Setup.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\Setup.exe:*:Enabled:Setup -- ()
"D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\hslogmgr.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\hslogmgr.exe:*:Enabled:hslogmgr.exe -- (AhnLab, Inc.)
"D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\HSUpdate.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\HSUpdate.exe:*:Enabled:HSUpdate.exe -- (AhnLab, Inc.)
"D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\ahnrpt.exe" = D:\EMS\Europe MapleStory\Europe MapleStory\Europe MapleStory\HShield\ahnrpt.exe:*:Enabled:ahnrpt.exe -- (AhnLab, Inc.)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{05BBEFF9-0968-4259-9C81-7A46BDFD543D}" = Steuern sparen 2009
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 19
"{27CC6AB1-E72B-4179-AF1A-EAE507EBAF51}_is1" = ConvertHelper 2.2
"{29B3C64A-0F93-47CD-9C54-72C0C5578487}" = Samsung PC Studio
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{49FC50FC-F965-40D9-89B4-CBFF80941031}" = Windows Movie Maker 2.0
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{59C95D15-5F24-435E-898D-3806961FC79D}" = Steuer 2006
"{67DABCB4-239C-4E02-805E-DEA0DDCB1926}" = Steuer Hilfesammlung
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{69496452-FAF3-43BC-9907-BA9CEC65FC10}" = Lexware Info Service
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4E86B6A-6EEC-41FD-8960-26947F0E3353}" = Haufe iDesk-Service
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A71000000002}" = Adobe Reader 7.1.0 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}" = PixiePack Codec Pack
"{B2EFE303-A594-11D5-95EB-005004BC1C65}" = EPSON PhotoQuicker3.2
"{BA520FF6-E598-42D5-AF43-26AF0BD9DEF4}" = Steuern sparen 2009
"{BEAD39CD-901D-4267-8B8B-EAA83CB4B70D}" = Pivot Stickfigure Animator
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C1CAAF9E-2A80-4AD0-8D9A-B4327966249F}" = Paint.NET v3.20
"{C4A4722E-79F9-417C-BD72-8D359A090C97}" = Samsung PC Studio
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFADE4AF-C0CF-4A04-A776-741318F1658F}" = Content Transfer
"{D5C8E140-6E6F-11DD-9AA9-0050560400B1}" = Haufe iDesk-Service
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{E96B5F8F-345A-43AF-82E4-5CFEB8616D2D}" = Steuern sparen 2008
"{E96FF910-1BC9-4EE5-BC12-0A30D4E20F37}" = NWZ-E440 WALKMAN Guide
"{E9829F7E-5A2A-4D91-92BC-248E1A9F5BC8}" = GermanyWonderking
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}" = Samsung PC Studio 3 USB Driver Installer
"{F48AAE0F-52F4-11DD-B1F7-0050560400B1}" = Haufe iDesk-Browser
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"573a7314" = Contextual Tool Profitmuse
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop 7.0" = Adobe Photoshop 7.0
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"AhnLab Online Security" = AhnLab Online Security
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"C-Media Audio Driver" = C-Media WDM Audio Driver
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"Europe MapleStory_is1" = Europe MapleStory
"Fraps" = Fraps
"GIF Animator" = Microsoft GIF Animator
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"IncrediMail" = IncrediMail
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"npkcxp" = nProtect KeyCrypt
"QuickTime" = QuickTime
"RollerCoaster Tycoon Setup" = Roll
"rptweuxogeiuoe" = Performance Maximizer Profitizeme
"RTP 1.32 Add-On for RM2k" = RTP 1.32 Add-On for RM2k
"RTP for RM2K (Png, Wav, Midi, Fonts)" = RTP for RM2K (Png, Wav, Midi, Fonts)
"SAMSUNG CDMA Modem" = SAMSUNG CDMA Modem Driver Set
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"ToolbarICQToolbar.ICQToolbarObjectIEToolbar" = ICQ Toolbar
"Tweak UI 2.10" = Tweak UI
"Virtools3DLifePlayer" = Virtools 3D Life Player
"Virtualdub 1.4.9" = Virtualdub 1.4.9
"VLC media player" = VLC media player 1.0.2
"WiFiConnector" = Registrierungsprogramm für den Nintendo Wi-Fi USB Connector
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGTK-2_is1" = GTK+ 2.10.11 runtime environment
"WinRAR archiver" = WinRAR archiver
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xp-AntiSpy" = xp-AntiSpy 3.97-6
"Yahoo! Companion" = Yahoo! Toolbar
"Yahoo! Search Defender" = Yahoo! Suche Schutzvorkehrung
"Yahoo! Toolbar" = Yahoo! Toolbar
"YInstHelper" = Yahoo! Install Manager

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 14.03.2010 07:56:34 | Computer Name = HEIMPC | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen
werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene
Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information
ist DWORD 2.

Error - 14.03.2010 07:56:34 | Computer Name = HEIMPC | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode
ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2.

Error - 14.03.2010 07:56:34 | Computer Name = HEIMPC | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen
werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene
Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information
ist DWORD 2.

Error - 14.03.2010 07:56:34 | Computer Name = HEIMPC | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode
ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2.

Error - 14.03.2010 07:56:35 | Computer Name = HEIMPC | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen
werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene
Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information
ist DWORD 2.

Error - 14.03.2010 07:56:35 | Computer Name = HEIMPC | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode
ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2.

Error - 14.03.2010 07:59:25 | Computer Name = HEIMPC | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.

Error - 14.03.2010 08:14:47 | Computer Name = HEIMPC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3685, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 15.03.2010 06:35:21 | Computer Name = HEIMPC | Source = McLogEvent | ID = 5051
Description =

Error - 15.03.2010 16:52:31 | Computer Name = HEIMPC | Source = McLogEvent | ID = 5051
Description =

[ System Events ]
Error - 29.04.2010 06:11:04 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst WZCSVC.

Error - 29.04.2010 06:14:25 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7034
Description = Dienst "Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope"
wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error - 29.04.2010 06:14:27 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 29.04.2010 06:17:57 | Computer Name = HEIMPC | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.

Error - 29.04.2010 06:17:57 | Computer Name = HEIMPC | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.

Error - 29.04.2010 06:19:45 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "npkcrypt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%3

Error - 29.04.2010 06:21:00 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.

Error - 29.04.2010 06:21:00 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053

Error - 29.04.2010 06:23:38 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7034
Description = Dienst "Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope"
wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error - 29.04.2010 06:23:58 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

< End of report >

GMER
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-29 13:53:16
Windows 5.1.2600 Service Pack 3
Running: vl2qs52e.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\uftdipoc.sys

---- System - GMER 1.0.15 ----

SSDT FA10CCE6 ZwCreateKey
SSDT FA10CCDC ZwCreateThread
SSDT FA10CCEB ZwDeleteKey
SSDT FA10CCF5 ZwDeleteValueKey
SSDT FA10CCFA ZwLoadKey
SSDT FA10CCC8 ZwOpenProcess
SSDT FA10CCCD ZwOpenThread
SSDT FA10CD04 ZwReplaceKey
SSDT FA10CCFF ZwRestoreKey
SSDT FA10CCF0 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.rsrc C:\WINDOWS\System32\DRIVERS\mouclass.sys entry point in ".rsrc" section [0xF9DC6814]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[1160] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0091000A
.text C:\WINDOWS\System32\svchost.exe[1160] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 3 Bytes JMP 0092000A
.text C:\WINDOWS\System32\svchost.exe[1160] ntdll.dll!NtWriteVirtualMemory + 4 7C91DFB2 1 Byte [84]
.text C:\WINDOWS\System32\svchost.exe[1160] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0090000C
.text C:\WINDOWS\System32\svchost.exe[1160] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 01DA000A
.text C:\WINDOWS\System32\svchost.exe[1160] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 017C000A
.text C:\WINDOWS\Explorer.EXE[1680] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B6000A
.text C:\WINDOWS\Explorer.EXE[1680] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00BC000A
.text C:\WINDOWS\Explorer.EXE[1680] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B5000C

---- Devices - GMER 1.0.15 ----

Device -> \Driver\atapi \Device\Harddisk0\DR0 81949AC8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Classes\.application\bootstrap@ bootstrap.application.1
Reg HKLM\SOFTWARE\Classes\.cfxxe@ cfxxefile
Reg HKLM\SOFTWARE\Classes\ASP.HostEncode\CLSID
Reg HKLM\SOFTWARE\Classes\ASP.HostEncode\CLSID@ {0CF774D1-F077-11D1-B1BC-00C04F86C324}
Reg HKLM\SOFTWARE\Classes\cfxxefile\shell
Reg HKLM\SOFTWARE\Classes\cfxxefile\shell\open
Reg HKLM\SOFTWARE\Classes\cfxxefile\shell\open\command
Reg HKLM\SOFTWARE\Classes\cfxxefile\shell\open\command@ "%1" %*
Reg HKLM\SOFTWARE\Classes\ECMAScript@ JScript Language
Reg HKLM\SOFTWARE\Classes\ECMAScript\CLSID
Reg HKLM\SOFTWARE\Classes\ECMAScript\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\ECMAScript\OLEScript
Reg HKLM\SOFTWARE\Classes\ECMAScript Author@ JScript Language Authoring
Reg HKLM\SOFTWARE\Classes\ECMAScript Author\CLSID
Reg HKLM\SOFTWARE\Classes\ECMAScript Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\ECMAScript Author\OLEScript
Reg HKLM\SOFTWARE\Classes\HTML.HostEncode\CLSID
Reg HKLM\SOFTWARE\Classes\HTML.HostEncode\CLSID@ {0CF774D0-F077-11D1-B1BC-00C04F86C324}
Reg HKLM\SOFTWARE\Classes\JavaScript@ JScript Language
Reg HKLM\SOFTWARE\Classes\JavaScript\CLSID
Reg HKLM\SOFTWARE\Classes\JavaScript\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JavaScript\OLEScript
Reg HKLM\SOFTWARE\Classes\JavaScript Author@ JScript Language Authoring
Reg HKLM\SOFTWARE\Classes\JavaScript Author\CLSID
Reg HKLM\SOFTWARE\Classes\JavaScript Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JavaScript Author\OLEScript
Reg HKLM\SOFTWARE\Classes\JavaScript1.1@ JScript Language
Reg HKLM\SOFTWARE\Classes\JavaScript1.1\CLSID
Reg HKLM\SOFTWARE\Classes\JavaScript1.1\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JavaScript1.1\OLEScript
Reg HKLM\SOFTWARE\Classes\JavaScript1.1 Author@ JScript Language Authoring
Reg HKLM\SOFTWARE\Classes\JavaScript1.1 Author\CLSID
Reg HKLM\SOFTWARE\Classes\JavaScript1.1 Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JavaScript1.1 Author\OLEScript
Reg HKLM\SOFTWARE\Classes\JavaScript1.2@ JScript Language
Reg HKLM\SOFTWARE\Classes\JavaScript1.2\CLSID
Reg HKLM\SOFTWARE\Classes\JavaScript1.2\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JavaScript1.2\OLEScript
Reg HKLM\SOFTWARE\Classes\JavaScript1.2 AuthorJavaScript1.3 Author@ JScript Language Authoring
Reg HKLM\SOFTWARE\Classes\JavaScript1.2 AuthorJavaScript1.3 Author\CLSID
Reg HKLM\SOFTWARE\Classes\JavaScript1.2 AuthorJavaScript1.3 Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JavaScript1.2 AuthorJavaScript1.3 Author\OLEScript
Reg HKLM\SOFTWARE\Classes\JavaScript1.3@ JScript Language
Reg HKLM\SOFTWARE\Classes\JavaScript1.3\CLSID
Reg HKLM\SOFTWARE\Classes\JavaScript1.3\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JavaScript1.3\OLEScript
Reg HKLM\SOFTWARE\Classes\JScript@ JScript Language
Reg HKLM\SOFTWARE\Classes\JScript\CLSID
Reg HKLM\SOFTWARE\Classes\JScript\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JScript\OLEScript
Reg HKLM\SOFTWARE\Classes\JScript Author@ JScript Language Authoring
Reg HKLM\SOFTWARE\Classes\JScript Author\CLSID
Reg HKLM\SOFTWARE\Classes\JScript Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JScript Author\OLEScript
Reg HKLM\SOFTWARE\Classes\JScript.Compact@ JScript Compact Profile (ECMA 327)
Reg HKLM\SOFTWARE\Classes\JScript.Compact\CLSID
Reg HKLM\SOFTWARE\Classes\JScript.Compact\CLSID@ {cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}
Reg HKLM\SOFTWARE\Classes\JScript.Compact\OLEScript
Reg HKLM\SOFTWARE\Classes\JScript.Compact Author@ JScript Language Authoring
Reg HKLM\SOFTWARE\Classes\JScript.Compact Author\CLSID
Reg HKLM\SOFTWARE\Classes\JScript.Compact Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JScript.Compact Author\OLEScript
Reg HKLM\SOFTWARE\Classes\JScript.Encode@ JScript Language Encoding
Reg HKLM\SOFTWARE\Classes\JScript.Encode\CLSID
Reg HKLM\SOFTWARE\Classes\JScript.Encode\CLSID@ {f414c262-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\JScript.Encode\OLEScript
Reg HKLM\SOFTWARE\Classes\JSFile.HostEncode\CLSID
Reg HKLM\SOFTWARE\Classes\JSFile.HostEncode\CLSID@ {85131630-480C-11D2-B1F9-00C04F86C324}
Reg HKLM\SOFTWARE\Classes\LiveScript@ JScript Language
Reg HKLM\SOFTWARE\Classes\LiveScript\CLSID
Reg HKLM\SOFTWARE\Classes\LiveScript\CLSID@ {f414c260-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\LiveScript\OLEScript
Reg HKLM\SOFTWARE\Classes\LiveScript Author@ JScript Language Authoring
Reg HKLM\SOFTWARE\Classes\LiveScript Author\CLSID
Reg HKLM\SOFTWARE\Classes\LiveScript Author\CLSID@ {f414c261-6ac0-11cf-b6d1-00aa00bbbb58}
Reg HKLM\SOFTWARE\Classes\LiveScript Author\OLEScript
Reg HKLM\SOFTWARE\Classes\RDS.DataControl@ RDS.DataControl
Reg HKLM\SOFTWARE\Classes\RDS.DataControl\Clsid
Reg HKLM\SOFTWARE\Classes\RDS.DataControl\Clsid@ {BD96C556-65A3-11D0-983A-00C04FC29E33}
Reg HKLM\SOFTWARE\Classes\RDS.DataControl.2.81@ RDS.DataControl
Reg HKLM\SOFTWARE\Classes\RDS.DataControl.2.81\Clsid
Reg HKLM\SOFTWARE\Classes\RDS.DataControl.2.81\Clsid@ {BD96C556-65A3-11D0-983A-00C04FC29E33}
Reg HKLM\SOFTWARE\Classes\RDS.DataSpace@ RDS.DataSpace
Reg HKLM\SOFTWARE\Classes\RDS.DataSpace\Clsid
Reg HKLM\SOFTWARE\Classes\RDS.DataSpace\Clsid@ {BD96C556-65A3-11D0-983A-00C04FC29E36}
Reg HKLM\SOFTWARE\Classes\RDS.DataSpace.2.81@ RDS.DataSpace
Reg HKLM\SOFTWARE\Classes\RDS.DataSpace.2.81\Clsid
Reg HKLM\SOFTWARE\Classes\RDS.DataSpace.2.81\Clsid@ {BD96C556-65A3-11D0-983A-00C04FC29E36}
Reg HKLM\SOFTWARE\Classes\Scripting.Dictionary@ Scripting.Dictionary
Reg HKLM\SOFTWARE\Classes\Scripting.Dictionary\CLSID
Reg HKLM\SOFTWARE\Classes\Scripting.Dictionary\CLSID@ {EE09B103-97E0-11CF-978F-00A02463E06F}
Reg HKLM\SOFTWARE\Classes\Scripting.Encoder@ Script Encoder Object
Reg HKLM\SOFTWARE\Classes\Scripting.Encoder\CLSID
Reg HKLM\SOFTWARE\Classes\Scripting.Encoder\CLSID@ {32DA2B15-CFED-11D1-B747-00C04FC2B085}
Reg HKLM\SOFTWARE\Classes\Scripting.FileSystemObject@ FileSystem Object
Reg HKLM\SOFTWARE\Classes\Scripting.FileSystemObject\CLSID
Reg HKLM\SOFTWARE\Classes\Scripting.FileSystemObject\CLSID@ {0D43FE01-F093-11CF-8940-00A0C9054228}
Reg HKLM\SOFTWARE\Classes\VBS@ VB Script Language
Reg HKLM\SOFTWARE\Classes\VBS\CLSID
Reg HKLM\SOFTWARE\Classes\VBS\CLSID@ {B54F3741-5B07-11cf-A4B0-00AA004A55E8}
Reg HKLM\SOFTWARE\Classes\VBS\OLEScript
Reg HKLM\SOFTWARE\Classes\VBS Author@ VB Script Language Authoring
Reg HKLM\SOFTWARE\Classes\VBS Author\CLSID
Reg HKLM\SOFTWARE\Classes\VBS Author\CLSID@ {B54F3742-5B07-11cf-A4B0-00AA004A55E8}
Reg HKLM\SOFTWARE\Classes\VBS Author\OLEScript
Reg HKLM\SOFTWARE\Classes\VBScript@ VB Script Language
Reg HKLM\SOFTWARE\Classes\VBScript\CLSID
Reg HKLM\SOFTWARE\Classes\VBScript\CLSID@ {B54F3741-5B07-11cf-A4B0-00AA004A55E8}
Reg HKLM\SOFTWARE\Classes\VBScript\OLEScript
Reg HKLM\SOFTWARE\Classes\VBScript Author@ VB Script Language Authoring
Reg HKLM\SOFTWARE\Classes\VBScript Author\CLSID
Reg HKLM\SOFTWARE\Classes\VBScript Author\CLSID@ {B54F3742-5B07-11cf-A4B0-00AA004A55E8}
Reg HKLM\SOFTWARE\Classes\VBScript Author\OLEScript
Reg HKLM\SOFTWARE\Classes\VBScript.Encode@ VBScript Language Encoding
Reg HKLM\SOFTWARE\Classes\VBScript.Encode\CLSID
Reg HKLM\SOFTWARE\Classes\VBScript.Encode\CLSID@ {B54F3743-5B07-11cf-A4B0-00AA004A55E8}
Reg HKLM\SOFTWARE\Classes\VBScript.Encode\OLEScript
Reg HKLM\SOFTWARE\Classes\VBScript.RegExp@ VBScript Regular Expression
Reg HKLM\SOFTWARE\Classes\VBScript.RegExp\CLSID
Reg HKLM\SOFTWARE\Classes\VBScript.RegExp\CLSID@ {3F4DACA4-160D-11D2-A8E9-00104B365C9F}
Reg HKLM\SOFTWARE\Classes\VBScript.RegExp\OLEScript
Reg HKLM\SOFTWARE\Classes\VBSFile.HostEncode\CLSID
Reg HKLM\SOFTWARE\Classes\VBSFile.HostEncode\CLSID@ {85131631-480C-11D2-B1F9-00C04F86C324}

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\System32\DRIVERS\mouclass.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

Chris4You · 29.04.2010, 20:57

Hi,

Rootkit im Einsatz auf Deinem Rechner...
Hmm.... Keule oder chirugischer Eingriff?

Okay, wegen der Vorgeschichte Keule!

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Kanrei · 30.04.2010, 12:10

So ich hab ComboFix ausgeführt aber irgendwie gab es da Probleme. Nach dem Neustart konnte CF nicht mehr gestartet werden. Es kam nur dieses Fenster mit ''Webdienst für die Suche nach einem geeigneten Programm benutzen, etc.'' In dem Log steht nur dies:
ComboFix 10-04-29.05 - *** 30.04.2010 12:28:55.2.1 - x86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
.

Chris4You · 30.04.2010, 12:20

Hi,

der Rechner läuft aber noch?
Das wird happig bzw. kann gefährlich werden.
Backup vorhanden, falls sich die Antimalwaretools und das Rookit ineinander verhacken, kann es passieren, dass der Rechner nicht mehr bootet!
Das Rootkit hat sich u. a. in einen Low-Level-Treiber für die Festplatte eingenistet, wenn die Entfernung schief geht, bootet Windows auch nicht mehr (ist bis jetzt einmal passiert)...

Combofix entfernen:
Start->Ausführen, dann combofix /uninstall reinschreiben und OK drücken...

Das sieht dann so aus, als ob die Herren/Damen Malwareprogrammier uns einen Schritt voraus sind.

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150
Entpacke alle Dateien!

Start.bat erstellen:
Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein:

Code:

ATTFilter

@ECHO OFF
TDSSKiller.exe -l report.txt -v
DEL %0

Speichern als: start.bat

abspeichern unter : Dateityp: alle Dateien

speichere die Datei im Ordner wo auch TDSSKiller.exe steht

Doppelklick start.bat

TDSSKiller.exe wird gestartet und ein Log erzeugen(report.txt).
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt.

Cureit (kommt auch mit TDSS zurecht, aber eventuell hast Du eine ganz neue Version drauf):
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Kanrei · 30.04.2010, 13:04

Soll ich einen FullScan mit CureIT machen? Hier ist schon mal der erste Log. Der von CureIT kommt etwas später.

13:39:56:712 3992 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
13:39:56:712 3992 ================================================================================
13:39:56:712 3992 SystemInfo:

13:39:56:712 3992 OS Version: 5.1.2600 ServicePack: 3.0
13:39:56:712 3992 Product type: Workstation
13:39:56:712 3992 ComputerName: HEIMPC
13:39:56:712 3992 UserName: ***
13:39:56:712 3992 Windows directory: C:\WINDOWS
13:39:56:712 3992 Processor architecture: Intel x86
13:39:56:712 3992 Number of processors: 1
13:39:56:712 3992 Page size: 0x1000
13:39:56:712 3992 Boot type: Normal boot
13:39:56:712 3992 ================================================================================
13:39:56:732 3992 UnloadDriverW: NtUnloadDriver error 2
13:39:56:732 3992 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
13:39:56:872 3992 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
13:39:56:872 3992 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
13:39:56:872 3992 wfopen_ex: Trying to KLMD file open
13:39:56:872 3992 wfopen_ex: File opened ok (Flags 2)
13:39:56:872 3992 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
13:39:56:872 3992 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
13:39:56:872 3992 wfopen_ex: Trying to KLMD file open
13:39:56:872 3992 wfopen_ex: File opened ok (Flags 2)
13:39:56:872 3992 Initialize success
13:39:56:872 3992
13:39:56:872 3992 Scanning Services ...
13:39:57:303 3992 Raw services enum returned 354 services
13:39:57:313 3992
13:39:57:313 3992 Scanning Kernel memory ...
13:39:57:313 3992 Devices to scan: 4
13:39:57:313 3992
13:39:57:313 3992 Driver Name: Disk
13:39:57:313 3992 IRP_MJ_CREATE : F9A78BB0
13:39:57:313 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
13:39:57:313 3992 IRP_MJ_CLOSE : F9A78BB0
13:39:57:313 3992 IRP_MJ_READ : F9A72D1F
13:39:57:313 3992 IRP_MJ_WRITE : F9A72D1F
13:39:57:313 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E
13:39:57:313 3992 IRP_MJ_SET_INFORMATION : 804FA88E
13:39:57:313 3992 IRP_MJ_QUERY_EA : 804FA88E
13:39:57:313 3992 IRP_MJ_SET_EA : 804FA88E
13:39:57:313 3992 IRP_MJ_FLUSH_BUFFERS : F9A732E2
13:39:57:313 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
13:39:57:313 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
13:39:57:313 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
13:39:57:313 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
13:39:57:313 3992 IRP_MJ_DEVICE_CONTROL : F9A733BB
13:39:57:313 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F9A76F28
13:39:57:313 3992 IRP_MJ_SHUTDOWN : F9A732E2
13:39:57:313 3992 IRP_MJ_LOCK_CONTROL : 804FA88E
13:39:57:313 3992 IRP_MJ_CLEANUP : 804FA88E
13:39:57:313 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E
13:39:57:313 3992 IRP_MJ_QUERY_SECURITY : 804FA88E
13:39:57:313 3992 IRP_MJ_SET_SECURITY : 804FA88E
13:39:57:313 3992 IRP_MJ_POWER : F9A74C82
13:39:57:313 3992 IRP_MJ_SYSTEM_CONTROL : F9A7999E
13:39:57:313 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E
13:39:57:313 3992 IRP_MJ_QUERY_QUOTA : 804FA88E
13:39:57:313 3992 IRP_MJ_SET_QUOTA : 804FA88E
13:39:57:343 3992 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
13:39:57:353 3992
13:39:57:353 3992 Driver Name: Disk
13:39:57:353 3992 IRP_MJ_CREATE : F9A78BB0
13:39:57:353 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
13:39:57:353 3992 IRP_MJ_CLOSE : F9A78BB0
13:39:57:353 3992 IRP_MJ_READ : F9A72D1F
13:39:57:353 3992 IRP_MJ_WRITE : F9A72D1F
13:39:57:353 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_FLUSH_BUFFERS : F9A732E2
13:39:57:353 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_DEVICE_CONTROL : F9A733BB
13:39:57:353 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F9A76F28
13:39:57:353 3992 IRP_MJ_SHUTDOWN : F9A732E2
13:39:57:353 3992 IRP_MJ_LOCK_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_CLEANUP : 804FA88E
13:39:57:353 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_SECURITY : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_SECURITY : 804FA88E
13:39:57:353 3992 IRP_MJ_POWER : F9A74C82
13:39:57:353 3992 IRP_MJ_SYSTEM_CONTROL : F9A7999E
13:39:57:353 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_QUOTA : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_QUOTA : 804FA88E
13:39:57:353 3992 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
13:39:57:353 3992
13:39:57:353 3992 Driver Name: Disk
13:39:57:353 3992 IRP_MJ_CREATE : F9A78BB0
13:39:57:353 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
13:39:57:353 3992 IRP_MJ_CLOSE : F9A78BB0
13:39:57:353 3992 IRP_MJ_READ : F9A72D1F
13:39:57:353 3992 IRP_MJ_WRITE : F9A72D1F
13:39:57:353 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_FLUSH_BUFFERS : F9A732E2
13:39:57:353 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_DEVICE_CONTROL : F9A733BB
13:39:57:353 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F9A76F28
13:39:57:353 3992 IRP_MJ_SHUTDOWN : F9A732E2
13:39:57:353 3992 IRP_MJ_LOCK_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_CLEANUP : 804FA88E
13:39:57:353 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_SECURITY : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_SECURITY : 804FA88E
13:39:57:353 3992 IRP_MJ_POWER : F9A74C82
13:39:57:353 3992 IRP_MJ_SYSTEM_CONTROL : F9A7999E
13:39:57:353 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_QUOTA : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_QUOTA : 804FA88E
13:39:57:353 3992 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
13:39:57:353 3992
13:39:57:353 3992 Driver Name: atapi
13:39:57:353 3992 IRP_MJ_CREATE : F997E6F2
13:39:57:353 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
13:39:57:353 3992 IRP_MJ_CLOSE : F997E6F2
13:39:57:353 3992 IRP_MJ_READ : 804FA88E
13:39:57:353 3992 IRP_MJ_WRITE : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_FLUSH_BUFFERS : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
13:39:57:363 3992 IRP_MJ_DEVICE_CONTROL : F997E712
13:39:57:363 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F997A852
13:39:57:363 3992 IRP_MJ_SHUTDOWN : 804FA88E
13:39:57:363 3992 IRP_MJ_LOCK_CONTROL : 804FA88E
13:39:57:363 3992 IRP_MJ_CLEANUP : 804FA88E
13:39:57:363 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E
13:39:57:363 3992 IRP_MJ_QUERY_SECURITY : 804FA88E
13:39:57:363 3992 IRP_MJ_SET_SECURITY : 804FA88E
13:39:57:363 3992 IRP_MJ_POWER : F997E73C
13:39:57:363 3992 IRP_MJ_SYSTEM_CONTROL : F9985336
13:39:57:363 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E
13:39:57:363 3992 IRP_MJ_QUERY_QUOTA : 804FA88E
13:39:57:363 3992 IRP_MJ_SET_QUOTA : 804FA88E
13:39:57:443 3992 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
13:39:57:443 3992
13:39:57:443 3992 Completed
13:39:57:443 3992
13:39:57:443 3992 Results:
13:39:57:443 3992 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
13:39:57:443 3992 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
13:39:57:443 3992 File objects infected / cured / cured on reboot: 0 / 0 / 0
13:39:57:443 3992

Chris4You · 30.04.2010, 13:40

Hi,

entweder CF hat es geschafft die Treiber durch saubere kopien zu ersetzen, oder es ist eine neue Variante die der Killer noch nicht kennt...

Mal sehen was CureIT sagt...

chris

Firefox öffnet neue Tabs

Log-Analyse und Auswertung: Firefox öffnet neue Tabs