TR/Fakealert.kit1

new-commer · 30.04.2010, 18:26

Ich habe einen TR/Fakealert.kit.1 auf meinem Rechner.
Zumindest sagt das AntiVir.
Ich habe einen scan durchgeführt und bitte Euch mir dazu was zu sagen.
Der Scan scheint O.K. , aber der Virus nervt. Immer wieder kommt eine Warnmeldung und nichts kann ihn dauerhaft entfernen.
Bitte helft mir !
Hier die Kopie des Scanergebnis:

Fix Navipromo version 4.0.8 begonnen am 30.04.2010 19:01:04,69

!!! Achtung, dieser Abschnitt kann legitime Dateien und Programme auflisten!!!
!!! Posten sie diesen Bericht im Forum, um ihn auswerten zu lassen !!!

Programm ausgefuehrt in: D:\navilog1

Zuletzt von IL-MAFIOSO aktualisiert am 09.03.2010 um 18h00

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel Pentium III-Prozessor )
BIOS : Award Medallion BIOS v6.0
USER : M&S Weber ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 0.0.0.0 (Activated)

C:\ (Local Disk) - NTFS - Total:25 Go (Free:23 Go)
D:\ (Local Disk) - NTFS - Total:14 Go (Free:2 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:49 Go (Free:2 Go)
G:\ (Local Disk) - NTFS - Total:4 Go (Free:4 Go)
H:\ (Local Disk) - NTFS - Total:18 Go (Free:18 Go)
I:\ (CD or DVD)
J:\ (CD or DVD)
K:\ (USB)
L:\ (USB)
M:\ (USB)
N:\ (USB)
O:\ (USB)

Suche Im normalen Modus ausgefuehrt

Kein Befall durch Navipromo/Egdaccess gefunden

*** Scan beendet 30.04.2010 19:02:13,90 ***

cosinus · 30.04.2010, 18:31

Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

new-commer · 01.05.2010, 17:55

OTL Extras logfile created on: 01.05.2010 18:02:26 - Run 1
OTL by OldTimer - Version 3.2.4.0 Folder = D:\Dokumente und Einstellungen\M&S Weber\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 56,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 960 1920 [binary data]

%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 25,39 Gb Total Space | 23,35 Gb Free Space | 91,99% Space Free | Partition Type: NTFS
Drive D: | 14,65 Gb Total Space | 2,97 Gb Free Space | 20,25% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 49,14 Gb Total Space | 2,74 Gb Free Space | 5,57% Space Free | Partition Type: NTFS
Drive G: | 4,89 Gb Total Space | 4,86 Gb Free Space | 99,45% Space Free | Partition Type: NTFS
Drive H: | 18,75 Gb Total Space | 18,27 Gb Free Space | 97,42% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded

Computer Name: EXEDUS
Current User Name: M&S Weber
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Pixum EasyBook.exe] -- "D:\Programme\Pixum\Pixum EasyBook\Pixum EasyBook.exe" "%1" ()
Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "D:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "D:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "D:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Designer\Designer.exe" = C:\Designer\Designer.exe:*

esigner.exe -- ()
"C:\Designer\Designer\Designer.exe" = C:\Designer\Designer\Designer.exe:*

esigner.exe -- File not found
"D:\Programme\T-Eumex KommunikationsCenter\Fax.exe" = D:\Programme\T-Eumex KommunikationsCenter\Fax.exe:*:Enabled:Fax -- File not found
"D:\Programme\T-Eumex KommunikationsCenter\Wahlhilfe.exe" = D:\Programme\T-Eumex KommunikationsCenter\Wahlhilfe.exe:*:Enabled:Wahlhilfe -- File not found
"D:\Programme\T-Eumex KommunikationsCenter\Anrufbeantworter.exe" = D:\Programme\T-Eumex KommunikationsCenter\Anrufbeantworter.exe:*:Enabled:Anrufbeantworter -- File not found
"D:\Programme\T-Eumex KommunikationsCenter\EuroFile.exe" = D:\Programme\T-Eumex KommunikationsCenter\EuroFile.exe:*:Enabled:Eurofile -- File not found
"D:\Programme\T-Eumex KommunikationsCenter\SMS.exe" = D:\Programme\T-Eumex KommunikationsCenter\SMS.exe:*:Enabled:sms -- File not found
"C:\AntiVir PersonalEdition Classic\update.exe" = C:\AntiVir PersonalEdition Classic\update.exe:*:Enabled:update.exe -- File not found
"D:\Programme\ICQLite\ICQLite.exe" = D:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite -- File not found
"D:\Programme\ICQ6\ICQ.exe" = D:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- File not found
"D:\Programme\ICQ6.5\ICQ.exe" = D:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"D:\Programme\IncrediMail\Bin\IncMail.exe" = D:\Programme\IncrediMail\Bin\IncMail.exe:*:Enabled:IncrediMail -- File not found
"D:\Programme\IncrediMail\Bin\ImApp.exe" = D:\Programme\IncrediMail\Bin\ImApp.exe:*:Enabled:IncrediMail -- File not found
"D:\Programme\IncrediMail\Bin\ImpCnt.exe" = D:\Programme\IncrediMail\Bin\ImpCnt.exe:*:Enabled:IncrediMail -- File not found
"D:\Programme\SiSoftware\SiSoftware Sandra Lite 2010.SP1d\WNt500x86\RpcSandraSrv.exe" = D:\Programme\SiSoftware\SiSoftware Sandra Lite 2010.SP1d\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service -- File not found

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{0F9196C6-58B4-445B-B56E-B1200FECC151}" = Microsoft Bootvis
"{1CABB679-3958-44AA-BFFF-4E68A2684255}" = ArcSoft Panorama Maker 3.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}" = Google Earth
"{419CF344-3D94-4DAD-99C8-EA7B00E5EA8B}" = Acronis*True*Image*Home
"{4A71E27C-07D2-4CB8-ACA9-165242416758}" = Digital Video
"{4D826618-59C6-11D4-976E-00C04F8EEB39}" = Macromedia FreeHand 10
"{534C6D59-D6E3-48A6-AD0B-747799019960}" = XVID Codec Installation
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5721A8EA-A30F-4F66-9046-3F40C43AE1DC}" = Driver Detective
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6B2961B1-0646-49FE-8F09-0C1E5E364EA7}" = OpenOffice.org 2.0
"{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PartitionMagic
"{757AD3D4-036B-42FA-B0A4-96BD6F4605A0}" = Ulead VideoStudio 7 SE VCD
"{89316E86-77A2-41FB-BB81-A8110E0BD343}" = Bibelblatt digital
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A7BF5297-3E74-11D5-B00F-00104B398D77}" = QuarkXPress Passport 5.01
"{AAB84E83-C8DF-4752-9DFC-2E2A48EE5E9F}" = Nikon View 6
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BBC0D330-C37B-4472-BFB9-AA217CF0C95F}" = Ulead Photo Express 4.0 SE
"{BF04760A-C016-423F-830B-782BC61E7305}" = ArcSoft PhotoImpression 5
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}" = ElsterFormular 2006/2007
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D4576E0D-2295-4B8E-B663-B68086B00EE5}" = Sonic CinePlayer DVD Pack
"{DE0B355F-78AA-445E-916B-288AD64818FD}" = ArcSoft MediaConverter
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{E883DCB3-766D-4166-8B28-33C8FE451F2B}" = ArcSoft ShowBiz DVD 2
"{E91E7402-2F13-4A6F-B05F-E295B9AF1031}" = Nero BackItUp 2 Essentials
"{EFCE5837-FC21-11D6-9D24-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.1_02
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe InDesign 1.5" = Adobe InDesign 1.5
"Adobe Photoshop 7.0" = Adobe Photoshop 7.0
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVM ISDN CAPI Port" = AVM ISDN CAPI Port
"CANONBJ_Deinstall_CNMCP53.DLL" = Canon i350
"Designer_is1" = Designer
"ElsterFormular 11.2.0.4074" = ElsterFormular
"FixUstor" = Generic color icon driver
"FLV Player" = FLV Player 2.0 (build 25)
"Guitar Explorer 1.0" = Guitar Explorer 1.0
"Guitar Explorer 1.1" = Guitar Explorer 1.1
"H3_Webster_Wallpaper" = H3_Webster_Wallpaper
"HijackThis" = HijackThis 2.0.2
"HS Geburtstermin" = HS Geburtstermin
"ICQToolbar" = ICQ Toolbar
"InstallShield_{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}" = PowerQuest PartitionMagic 8.0
"Java Web Start" = Java Web Start
"LHTTSGED" = L&H TTS3000 Deutsch
"MAX Console" = MAX Console
"MediaRing Talk Release 7.2.026" = MediaRing Talk Release 7.2.026
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NVIDIA Drivers" = NVIDIA Drivers
"PDFCreator Toolbar" = PDFCreator Toolbar
"QuickTime" = QuickTime
"Scribus 1.3.3.12" = Scribus 1.3.3.12
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
"Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.3.1
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4
"Ulead COOL 360 1.0" = Ulead COOL 360 1.0
"USB Scanner" = USB Scanner
"ViewpointMediaPlayer" = Viewpoint Media Player (Remove Only)
"VLC media player" = VLC media player 1.0.1
"Winamp" = Winamp (remove only)
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 10.02.2010 08:41:41 | Computer Name = EXEDUS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3642, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 17.02.2010 16:41:26 | Computer Name = EXEDUS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 6.0.2900.5512, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 18.03.2010 16:04:23 | Computer Name = EXEDUS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 1.9.9027.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 18.03.2010 16:09:27 | Computer Name = EXEDUS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 1.9.9027.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 18.03.2010 16:20:02 | Computer Name = EXEDUS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 1.9.9027.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 21.03.2010 12:55:22 | Computer Name = EXEDUS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul mshtml.dll, Version 6.0.2900.5921, Fehleradresse 0x00094f36.

Error - 17.04.2010 14:50:09 | Computer Name = EXEDUS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul flash9.ocx, Version 9.0.16.0, Fehleradresse 0x00107c4d.

Error - 19.04.2010 10:44:06 | Computer Name = EXEDUS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung SpybotSD.exe, Version 1.6.2.46, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 21.04.2010 07:53:10 | Computer Name = EXEDUS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung rundll32.exe, Version 5.1.2600.5512, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 27.04.2010 03:05:40 | Computer Name = EXEDUS | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

[ System Events ]
Error - 27.04.2010 14:48:19 | Computer Name = EXEDUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "IPSEC-Dienste" wurde mit folgendem Fehler beendet: %%1747

Error - 30.04.2010 07:48:38 | Computer Name = EXEDUS | Source = a1base | ID = 462776
Description =

Error - 30.04.2010 07:48:43 | Computer Name = EXEDUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "IPSEC-Dienste" wurde mit folgendem Fehler beendet: %%1747

Error - 30.04.2010 08:11:10 | Computer Name = EXEDUS | Source = DCOM | ID = 10010
Description = Der Server "{0002DF01-0000-0000-C000-000000000046}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 01.05.2010 10:27:20 | Computer Name = EXEDUS | Source = a1base | ID = 462776
Description =

Error - 01.05.2010 10:27:25 | Computer Name = EXEDUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet: %%126

Error - 01.05.2010 10:27:25 | Computer Name = EXEDUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "IPSEC-Dienste" wurde mit folgendem Fehler beendet: %%1747

Error - 01.05.2010 11:52:37 | Computer Name = EXEDUS | Source = a1base | ID = 462776
Description =

Error - 01.05.2010 11:52:44 | Computer Name = EXEDUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet: %%126

Error - 01.05.2010 11:52:44 | Computer Name = EXEDUS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "IPSEC-Dienste" wurde mit folgendem Fehler beendet: %%1747

< End of report >

new-commer · 01.05.2010, 17:56

OTL logfile created on: 01.05.2010 18:02:26 - Run 1
OTL by OldTimer - Version 3.2.4.0 Folder = D:\Dokumente und Einstellungen\M&S Weber\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 56,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 960 1920 [binary data]

%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 25,39 Gb Total Space | 23,35 Gb Free Space | 91,99% Space Free | Partition Type: NTFS
Drive D: | 14,65 Gb Total Space | 2,97 Gb Free Space | 20,25% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 49,14 Gb Total Space | 2,74 Gb Free Space | 5,57% Space Free | Partition Type: NTFS
Drive G: | 4,89 Gb Total Space | 4,86 Gb Free Space | 99,45% Space Free | Partition Type: NTFS
Drive H: | 18,75 Gb Total Space | 18,27 Gb Free Space | 97,42% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded

Computer Name: EXEDUS
Current User Name: M&S Weber
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - D:\Dokumente und Einstellungen\M&S Weber\Desktop\OTL.exe (OldTimer Tools)
PRC - D:\Dokumente und Einstellungen\M&S Weber\Lokale Einstellungen\Temp\Hp4.exe ()
PRC - D:\WINDOWS\Hjyzib.exe()
PRC - D:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - D:\Programme\ICQ6Toolbar\ICQ Service.exe ()
PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\guardgui.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - D:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
PRC - D:\WINDOWS\system32\csrcs.exe ()
PRC - D:\Programme\Outlook Express\msimn.exe (Microsoft Corporation)
PRC - D:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
PRC - D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
PRC - D:\Programme\Gemeinsame Dateien\Sonic Shared\CineTray.exe (Sonic Solutions)
PRC - D:\WINDOWS\system32\umonit.exe (General)
PRC - D:\Programme\Nikon\NkView6\NkvMon.exe (Nikon Corporation)

========== Modules (SafeList) ==========

MOD - D:\Dokumente und Einstellungen\M&S Weber\Desktop\OTL.exe (OldTimer Tools)
MOD - D:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

========== Win32 Services (SafeList) ==========

SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (ICQ Service) -- D:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (NMIndexingService) -- D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
SRV - (AcrSch2Svc) -- D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)

========== Driver Services (SafeList) ==========

DRV - (sptd) -- D:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (avgntflt) -- D:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- D:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- D:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- D:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (gmer) -- D:\WINDOWS\system32\drivers\gmer.sys (GMER)
DRV - (timounter) -- D:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis)
DRV - (tifsfilter) -- D:\WINDOWS\system32\drivers\tifsfilt.sys (Acronis)
DRV - (snapman) -- D:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis)
DRV - (gameenum) -- D:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (SVKP) -- D:\WINDOWS\system32\SVKP.sys (AntiCracking)
DRV - (Afc) -- D:\WINDOWS\system32\drivers\afc.sys (Arcsoft, Inc.)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- D:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (nv) -- D:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (AVMPORT) -- D:\WINDOWS\System32\drivers\avmport.sys (AVM Berlin)
DRV - (fixustor) -- D:\WINDOWS\system32\drivers\fixustor.sys (Genesys Logic)
DRV - (PQNTDrv) -- D:\WINDOWS\system32\drivers\PQNTDRV.sys (PowerQuest Corporation)
DRV - (es1969) ESS 1969-Audiotreiber (WDM) -- D:\WINDOWS\system32\drivers\es1969.sys (ESS Technology Inc.)
DRV - (a1base) -- D:\WINDOWS\system32\drivers\fbase.sys (AVM GmbH)
DRV - (AVMWAN) -- D:\WINDOWS\system32\drivers\avmwan.sys (AVM Berlin)
DRV - (rvsport) -- D:\WINDOWS\System32\drivers\rvsport.sys (RVS Datentechnik GmbH, München)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://mystart.incredimail.com/
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.5
FF - prefs.js..keyword.URL: "hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search="

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.04.17 20:54:05 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2010.04.17 20:54:01 | 000,000,000 | ---D | M]

[2008.09.16 13:51:43 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Extensions
[2010.04.30 18:49:19 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\extensions
[2009.09.28 14:53:10 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.08.13 09:18:24 | 000,000,000 | ---D | M] (DownloadHelper) -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2008.02.20 21:06:44 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\extensions\de-AT@dictionaries.addons.mozilla.org
[2010.04.27 10:35:36 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-1.xml
[2009.04.13 09:22:59 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-10.xml
[2009.05.07 11:19:13 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-11.xml
[2009.05.16 11:42:19 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-12.xml
[2009.06.16 11:55:48 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-13.xml
[2009.06.17 09:53:00 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-14.xml
[2009.07.21 11:39:47 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-15.xml
[2009.07.27 15:34:11 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-16.xml
[2009.08.09 22:38:33 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-17.xml
[2009.09.25 09:05:09 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-18.xml
[2009.10.29 21:17:20 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-19.xml
[2008.08.07 14:10:33 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-2.xml
[2009.12.17 21:29:28 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-20.xml
[2010.01.21 21:33:03 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-21.xml
[2010.04.17 20:55:07 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-22.xml
[2008.09.16 13:51:57 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-3.xml
[2008.09.27 10:43:49 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-4.xml
[2008.09.30 08:45:18 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-5.xml
[2008.11.22 14:10:02 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-6.xml
[2008.12.17 12:34:45 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-7.xml
[2009.02.10 16:17:30 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-8.xml
[2009.03.07 14:19:53 | 000,000,950 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin-9.xml
[2008.03.31 09:52:00 | 000,000,168 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin.gif
[2008.03.31 09:52:00 | 000,000,618 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin.src
[2009.07.13 17:12:02 | 000,000,944 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\icqplugin.xml
[2009.10.16 10:10:28 | 000,002,149 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\searchplugins\MyStart Search.xml
[2010.04.30 18:49:19 | 000,000,000 | ---D | M] -- D:\Programme\Mozilla Firefox\extensions
[2009.08.06 22:42:01 | 000,000,000 | ---D | M] (No name found) -- D:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2008.12.10 17:10:46 | 000,279,888 | ---- | M] (Musicnotes, Inc.) -- D:\Programme\Mozilla Firefox\plugins\npmusicn.dll
[2010.04.01 18:54:38 | 000,001,392 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 18:54:38 | 000,002,344 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.01 18:54:38 | 000,006,805 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.01 18:54:38 | 000,001,178 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.04.01 18:54:38 | 000,001,105 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2009.08.17 21:12:37 | 000,321,581 | R--- | M]) - D:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 11016 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - D:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - D:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - D:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O4 - HKLM..\Run: [Acronis Scheduler2 Service] D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [UMonit] D:\WINDOWS\system32\umonit.exe (General)
O4 - HKCU..\Run: [DAEMON Tools Lite] D:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
O4 - HKCU..\Run: [YVIBBBHA8C] D:\Dokumente und Einstellungen\M&S Weber\Lokale Einstellungen\Temp\Hp4.exe ()
O4 - HKLM..\RunServices: [csrcs] D:\WINDOWS\system32\csrcs.exe ()
O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NkvMon.exe.lnk = D:\Programme\Nikon\NkView6\NkvMon.exe (Nikon Corporation)
O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sonic CinePlayer Quick Launch.lnk = D:\Programme\Gemeinsame Dateien\Sonic Shared\CineTray.exe (Sonic Solutions)
O4 - Startup: D:\Dokumente und Einstellungen\M&S Weber\Startmenü\Programme\Autostart\Verknüpfung mit Arcor.lnk = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: csrcs = D:\WINDOWS\system32\csrcs.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O12 - Plugin for: .spop - D:\Programme\Internet Explorer\Plugins\NPDocBox.dll (InterTrust Technologies Corporation, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/1.4/jinstall-14_02-windows-i586.cab (Java Plug-in 1.4.1_02)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (csrcs.exe) - D:\WINDOWS\System32\csrcs.exe ()
O20 - Winlogon\Notify\ComPlusSetup: DllName - D:\WINDOWS\system32\catsrvut.dll - D:\WINDOWS\system32\catsrvut.dll (Microsoft Corporation)
O24 - Desktop Components:0 () - hxxp://i7.ebayimg.com/03/i/001/17/df/72bc_12.JPG
O24 - Desktop Components:1 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: D:\Dokumente und Einstellungen\M&S Weber\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: D:\Dokumente und Einstellungen\M&S Weber\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O30 - LSA: Authentication Packages - (relog_ap) - D:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.07 12:20:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{6e948d40-056b-11dc-88d1-404e57434431}\Shell\AutoRun\command - "" = P:\vpalqt.exe -- File not found
O33 - MountPoints2\{6e948d40-056b-11dc-88d1-404e57434431}\Shell\explore\Command - "" = P:\vpalqt.exe -- File not found
O33 - MountPoints2\{6e948d40-056b-11dc-88d1-404e57434431}\Shell\open\Command - "" = P:\vpalqt.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.05.01 18:00:19 | 000,570,880 | ---- | C] (OldTimer Tools) -- D:\Dokumente und Einstellungen\M&S Weber\Desktop\OTL.exe
[2010.04.30 18:55:47 | 000,000,000 | ---D | C] -- D:\Navilog1
[2010.04.19 16:45:56 | 000,000,000 | ---D | C] -- D:\WINDOWS\Logs
[2010.04.19 16:17:42 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\M&S Weber\Anwendungsdaten\Auslogics
[2010.04.19 16:16:45 | 000,000,000 | ---D | C] -- D:\Programme\Auslogics
[2010.04.19 16:15:29 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\M&S Weber\Eigene Dateien\Downloads
[2010.04.19 16:09:05 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\M&S Weber\Eigene Dateien\Meine empfangenen Dateien
[3 D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[13 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
[10 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.05.01 18:14:03 | 000,000,296 | -H-- | M] () -- D:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2010.05.01 18:00:24 | 000,570,880 | ---- | M] (OldTimer Tools) -- D:\Dokumente und Einstellungen\M&S Weber\Desktop\OTL.exe
[2010.05.01 17:55:38 | 000,012,598 | ---- | M] () -- D:\WINDOWS\System32\wpa.dbl
[2010.05.01 17:55:25 | 000,000,254 | -H-- | M] () -- D:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010.05.01 17:53:07 | 000,000,006 | -H-- | M] () -- D:\WINDOWS\tasks\SA.DAT
[2010.05.01 17:52:27 | 000,002,048 | --S- | M] () -- D:\WINDOWS\bootstat.dat
[2010.05.01 17:52:25 | 1207,537,664 | -HS- | M] () -- D:\hiberfil.sys
[2010.04.30 19:45:31 | 007,864,320 | -H-- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\NTUSER.DAT
[2010.04.30 19:45:31 | 000,000,190 | -HS- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\ntuser.ini
[2010.04.30 18:55:27 | 000,231,559 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Desktop\Navilog1.exe
[2010.04.30 14:45:30 | 000,000,127 | ---- | M] () -- D:\WINDOWS\WININIT.INI
[2010.04.27 10:25:18 | 000,000,057 | ---- | M] () -- D:\WINDOWS\Hsgeburt.ini
[2010.04.27 09:21:07 | 000,162,304 | ---- | M] () -- D:\WINDOWS\Hjyzib.exe
[2010.04.27 09:20:57 | 000,000,000 | RHS- | M] () -- D:\khx
[2010.04.27 09:20:54 | 000,105,472 | ---- | M] () -- D:\WINDOWS\System32\ip.exe
[2010.04.27 09:20:33 | 000,001,523 | RHS- | M] () -- D:\WINDOWS\System32\autorun.in
[2010.04.27 09:20:33 | 000,000,971 | RHS- | M] () -- D:\WINDOWS\System32\autorun.i
[2010.04.27 09:20:20 | 000,531,646 | ---- | M] () -- D:\WINDOWS\System32\cftuon.exe
[2010.04.22 11:01:09 | 000,152,064 | ---- | M] () -- D:\WINDOWS\Hjyzia.exe
[2010.04.21 13:45:57 | 000,000,000 | RHS- | M] () -- D:\khv
[2010.04.19 17:42:46 | 000,000,894 | ---- | M] () -- D:\WINDOWS\win.ini
[2010.04.19 17:42:46 | 000,000,227 | ---- | M] () -- D:\WINDOWS\system.ini
[2010.04.19 16:49:19 | 000,037,408 | ---- | M] () -- D:\WINDOWS\System32\GDIPFONTCACHEV1.DAT
[2010.04.19 09:47:52 | 000,002,571 | ---- | M] () -- D:\Dokumente und Einstellungen\M&S Weber\Desktop\OpenOffice.org Writer.lnk
[2010.04.17 20:54:08 | 000,001,572 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.04.16 10:10:16 | 000,001,374 | ---- | M] () -- D:\WINDOWS\imsins.BAK
[3 D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[13 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
[10 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.05.01 17:54:14 | 000,000,254 | -H-- | C] () -- D:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010.05.01 17:53:49 | 000,000,296 | -H-- | C] () -- D:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2010.04.30 18:55:23 | 000,231,559 | ---- | C] () -- D:\Dokumente und Einstellungen\M&S Weber\Desktop\Navilog1.exe
[2010.04.27 09:21:45 | 000,162,304 | ---- | C] () -- D:\WINDOWS\Hjyzib.exe
[2010.04.27 09:20:57 | 000,000,000 | RHS- | C] () -- D:\khx
[2010.04.27 09:20:14 | 000,531,646 | ---- | C] () -- D:\WINDOWS\System32\cftuon.exe
[2010.04.22 11:01:55 | 000,152,064 | ---- | C] () -- D:\WINDOWS\Hjyzia.exe
[2010.04.22 11:00:55 | 000,105,472 | ---- | C] () -- D:\WINDOWS\System32\ip.exe
[2010.04.21 13:45:57 | 000,000,000 | RHS- | C] () -- D:\khv
[2010.04.21 13:45:18 | 000,001,523 | RHS- | C] () -- D:\WINDOWS\System32\autorun.in
[2010.04.21 13:45:18 | 000,000,971 | RHS- | C] () -- D:\WINDOWS\System32\autorun.i
[2010.04.17 20:54:08 | 000,001,572 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.01.28 22:37:16 | 000,691,696 | ---- | C] () -- D:\WINDOWS\System32\drivers\sptd.sys
[2008.12.02 17:18:51 | 000,000,250 | ---- | C] () -- D:\WINDOWS\gmer.ini
[2008.12.02 17:18:50 | 000,884,736 | ---- | C] () -- D:\WINDOWS\gmer.dll
[2007.10.17 15:55:15 | 000,003,407 | ---- | C] () -- D:\WINDOWS\System32\ssH3_Webster.ini
[2007.08.06 16:35:23 | 000,000,057 | ---- | C] () -- D:\WINDOWS\Hsgeburt.ini
[2007.04.26 13:38:25 | 000,003,188 | ---- | C] () -- D:\WINDOWS\tm.ini
[2007.03.03 22:44:17 | 000,000,021 | ---- | C] () -- D:\WINDOWS\PMK_setup.ini
[2007.03.03 17:36:49 | 000,000,127 | ---- | C] () -- D:\WINDOWS\WININIT.INI
[2007.02.21 15:57:54 | 000,000,030 | ---- | C] () -- D:\WINDOWS\Showbiz.ini
[2007.02.15 22:44:16 | 000,524,288 | ---- | C] () -- D:\WINDOWS\System32\xvidcore.dll
[2007.02.15 22:44:16 | 000,139,264 | ---- | C] () -- D:\WINDOWS\System32\xvidvfw.dll
[2007.01.20 18:50:28 | 000,002,357 | ---- | C] () -- D:\WINDOWS\WINCMD.INI
[2007.01.19 16:27:16 | 000,000,046 | ---- | C] () -- D:\WINDOWS\OPTAPC.INI
[2007.01.19 16:15:29 | 000,004,944 | ---- | C] () -- D:\WINDOWS\TLSTIME.DLL
[2007.01.19 16:15:29 | 000,001,128 | ---- | C] () -- D:\WINDOWS\ISDN_Pvd.ini
[2007.01.17 10:06:55 | 000,000,000 | ---- | C] () -- D:\WINDOWS\TrayLaunch.INI
[2007.01.10 18:47:11 | 000,000,026 | ---- | C] () -- D:\WINDOWS\HNetCtrl.INI
[2007.01.10 18:46:49 | 000,000,487 | ---- | C] () -- D:\WINDOWS\Capictrl.INI
[2007.01.10 18:33:45 | 000,000,059 | ---- | C] () -- D:\WINDOWS\WINPHONE.INI
[2006.10.10 18:24:09 | 000,000,201 | ---- | C] () -- D:\WINDOWS\telephon.ini
[2006.10.10 18:24:05 | 000,000,040 | ---- | C] () -- D:\WINDOWS\System32\sx7383.ini
[2006.10.10 18:24:04 | 000,202,240 | ---- | C] () -- D:\WINDOWS\System32\sp3.dll
[2006.10.10 18:24:04 | 000,000,040 | ---- | C] () -- D:\WINDOWS\System32\sx20.ini
[2006.10.10 18:24:01 | 000,000,040 | ---- | C] () -- D:\WINDOWS\System32\sx5363.ini
[2006.10.10 18:23:53 | 000,028,672 | ---- | C] () -- D:\WINDOWS\wutil.dll
[2006.10.10 18:06:12 | 000,006,137 | R--- | C] () -- D:\WINDOWS\System32\E1.ini
[2006.10.10 17:56:39 | 000,000,703 | R--- | C] () -- D:\WINDOWS\System32\iconcfg.ini
[2006.10.09 20:30:50 | 000,000,121 | ---- | C] () -- D:\WINDOWS\Winamp.ini
[2006.10.09 10:18:49 | 000,005,632 | ---- | C] () -- D:\WINDOWS\System32\CNMVS53.DLL
[2006.01.11 21:13:51 | 000,000,754 | ---- | C] () -- D:\WINDOWS\WORDPAD.INI
[2004.08.21 11:36:20 | 000,098,304 | ---- | C] () -- D:\WINDOWS\System32\AnimWnd.dll
[2004.05.10 04:02:12 | 000,282,624 | ---- | C] () -- D:\WINDOWS\System32\MstartSound.dll
[2004.05.10 04:02:12 | 000,184,320 | ---- | C] () -- D:\WINDOWS\System32\MstartScreen.dll
[2004.05.10 04:02:10 | 000,282,624 | ---- | C] () -- D:\WINDOWS\System32\MshutSound.dll
[2004.05.10 04:02:10 | 000,184,320 | ---- | C] () -- D:\WINDOWS\System32\MshutScreen.dll
[2003.06.17 12:25:12 | 000,102,400 | ---- | C] () -- D:\WINDOWS\System32\LIBPNG13.DLL
[2003.06.17 12:25:12 | 000,053,248 | ---- | C] () -- D:\WINDOWS\System32\ZLIB.DLL
[2003.05.20 03:40:06 | 000,126,976 | ---- | C] () -- D:\WINDOWS\System32\IrrShape.dll
[2000.04.12 10:28:12 | 000,118,784 | ---- | C] () -- D:\WINDOWS\System32\LFKODAK.DLL
[2000.04.12 10:24:10 | 000,338,944 | ---- | C] () -- D:\WINDOWS\System32\LFFPX7.DLL
< End of report >

cosinus · 01.05.2010, 18:44

Postest Du das Log von Malwarebytes noch?

new-commer · 02.05.2010, 06:52

Ja, hier kommts! (Hat ewig gedauert)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4057

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

01.05.2010 22:49:24
mbam-log-2010-05-01 (22-49-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 232095
Laufzeit: 3 Stunde(n), 26 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
D:\Dokumente und Einstellungen\M&S Weber\Lokale Einstellungen\Temp\Hp4.exe (Trojan.Fraudpack) -> Unloaded process successfully.
D:\WINDOWS\Hjyzib.exe (Trojan.Fraudpack) -> Unloaded process successfully.
D:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Dokumente und Einstellungen\M&S Weber\Lokale Einstellungen\Temp\Hp4.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
D:\WINDOWS\Hjyzib.exe (Trojan.Fraudpack) -> Delete on reboot.
D:\Dokumente und Einstellungen\M&S Weber\Lokale Einstellungen\Temp\Hp0.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\M&S Weber\Lokale Einstellungen\Temp\Hp2.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{D55AA2EE-C460-4540-B774-96CC4835DB05}\RP417\A0062541.exe (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
D:\WINDOWS\Hjyzia.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\ip.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
D:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

cosinus · 03.05.2010, 08:08

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
PRC - D:\WINDOWS\Hjyzib.exe()
PRC - D:\WINDOWS\system32\csrcs.exe ()
SRV - (ICQ Service) -- D:\Programme\ICQ6Toolbar\ICQ Service.exe ()
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search="
O4 - HKCU..\Run: [YVIBBBHA8C] D:\Dokumente und Einstellungen\M&S Weber\Lokale Einstellungen\Temp\Hp4.exe ()
O4 - HKLM..\RunServices: [csrcs] D:\WINDOWS\system32\csrcs.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: csrcs = D:\WINDOWS\system32\csrcs.exe ()
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe File not found
O20 - HKLM Winlogon: Shell - (csrcs.exe) - D:\WINDOWS\System32\csrcs.exe ()
O33 - MountPoints2\{6e948d40-056b-11dc-88d1-404e57434431}\Shell\AutoRun\command - "" = P:\vpalqt.exe -- File not found
O33 - MountPoints2\{6e948d40-056b-11dc-88d1-404e57434431}\Shell\explore\Command - "" = P:\vpalqt.exe -- File not found
O33 - MountPoints2\{6e948d40-056b-11dc-88d1-404e57434431}\Shell\open\Command - "" = P:\vpalqt.exe -- File not found
[2010.05.01 18:14:03 | 000,000,296 | -H-- | M] () -- D:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2010.05.01 17:55:25 | 000,000,254 | -H-- | M] () -- D:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010.04.27 10:25:18 | 000,000,057 | ---- | M] () -- D:\WINDOWS\Hsgeburt.ini
[2010.04.27 09:21:07 | 000,162,304 | ---- | M] () -- D:\WINDOWS\Hjyzib.exe
[2010.04.27 09:20:57 | 000,000,000 | RHS- | M] () -- D:\khx
[2010.04.27 09:20:54 | 000,105,472 | ---- | M] () -- D:\WINDOWS\System32\ip.exe
[2010.04.27 09:20:33 | 000,001,523 | RHS- | M] () -- D:\WINDOWS\System32\autorun.in
[2010.04.27 09:20:33 | 000,000,971 | RHS- | M] () -- D:\WINDOWS\System32\autorun.i
[2010.04.27 09:20:20 | 000,531,646 | ---- | M] () -- D:\WINDOWS\System32\cftuon.exe
[2010.04.22 11:01:09 | 000,152,064 | ---- | M] () -- D:\WINDOWS\Hjyzia.exe
[2010.04.21 13:45:57 | 000,000,000 | RHS- | M] () -- D:\khv
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

new-commer · 03.05.2010, 10:31

gemacht:

All processes killed
========== OTL ==========
No active process named Hjyzib.exe was found!
No active process named csrcs.exe was found!
Service ICQ Service stopped successfully!
Service ICQ Service deleted successfully!
D:\Programme\ICQ6Toolbar\ICQ Service.exe moved successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ deleted successfully.
D:\Programme\ICQ6Toolbar\ICQToolBar.dll moved successfully.
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "ICQ Search" removed from browser.search.selectedEngine
Prefs.js: "hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=" removed from keyword.URL
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\YVIBBBHA8C not found.
File D:\Dokumente und Einstellungen\M&S Weber\Lokale Einstellungen\Temp\Hp4.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\csrcs deleted successfully.
File D:\WINDOWS\system32\csrcs.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\csrcs not found.
File D:\WINDOWS\system32\csrcs.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:csrcs.exe deleted successfully.
File D:\WINDOWS\System32\csrcs.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6e948d40-056b-11dc-88d1-404e57434431}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6e948d40-056b-11dc-88d1-404e57434431}\ not found.
File P:\vpalqt.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6e948d40-056b-11dc-88d1-404e57434431}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6e948d40-056b-11dc-88d1-404e57434431}\ not found.
File P:\vpalqt.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6e948d40-056b-11dc-88d1-404e57434431}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6e948d40-056b-11dc-88d1-404e57434431}\ not found.
File P:\vpalqt.exe not found.
File D:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job not found.
File D:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job not found.
D:\WINDOWS\Hsgeburt.ini moved successfully.
File D:\WINDOWS\Hjyzib.exe not found.
D:\khx moved successfully.
File D:\WINDOWS\System32\ip.exe not found.
D:\WINDOWS\system32\autorun.in moved successfully.
D:\WINDOWS\system32\autorun.i moved successfully.
D:\WINDOWS\system32\cftuon.exe moved successfully.
File D:\WINDOWS\Hjyzia.exe not found.
D:\khv moved successfully.
========== COMMANDS ==========
D:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 4028053 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: M&S Weber
->Temp folder emptied: 6843132 bytes
->Temporary Internet Files folder emptied: 50932336 bytes
->Java cache emptied: 11412196 bytes
->FireFox cache emptied: 43454327 bytes
->Flash cache emptied: 18229 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 6407580 bytes
%systemroot%\System32 .tmp files removed: 4520327 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 24936377 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 146,00 mb

OTL by OldTimer - Version 3.2.4.0 log created on 05032010_103251

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 03.05.2010, 12:40

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

new-commer · 03.05.2010, 19:30

ComboFix 10-05-03.01 - M&S Weber 03.05.2010 19:54:16.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1152.742 [GMT 2:00]
ausgeführt von:: d:\dokumente und einstellungen\M&S Weber\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806EE0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806EE0B3-FFA4-011D-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {82A7CDC8-FFA4-00DA-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\programme\WindowsUpdate
d:\windows\system32\AutoRun.inf
d:\windows\system32\Sp3.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS

((((((((((((((((((((((( Dateien erstellt von 2010-04-03 bis 2010-05-03 ))))))))))))))))))))))))))))))
.

2010-05-03 17:19 . 2010-05-03 17:19 -------- d-----w- d:\programme\CCleaner
2010-05-03 08:32 . 2010-05-03 08:32 -------- d-----w- D:\_OTL
2010-05-01 17:13 . 2010-05-01 17:13 -------- d-----w- d:\dokumente und einstellungen\M&S Weber\Anwendungsdaten\Malwarebytes
2010-05-01 17:12 . 2010-04-29 10:19 38224 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2010-05-01 17:12 . 2010-05-01 17:12 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-01 17:12 . 2010-05-01 20:48 -------- d-----w- d:\programme\Malwarebytes' Anti-Malware
2010-05-01 17:12 . 2010-04-29 10:19 20952 ----a-w- d:\windows\system32\drivers\mbam.sys
2010-05-01 16:57 . 2010-05-01 16:57 -------- d-----w- d:\programme\navilog1
2010-04-30 16:55 . 2010-05-01 16:57 -------- d---a-w- D:\Navilog1
2010-04-19 14:45 . 2010-04-19 14:45 -------- d-----w- d:\windows\Logs
2010-04-19 14:17 . 2010-04-19 14:17 -------- d-----w- d:\dokumente und einstellungen\M&S Weber\Anwendungsdaten\Auslogics
2010-04-19 14:16 . 2010-04-19 14:16 -------- d-----w- d:\programme\Auslogics

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-03 17:24 . 2007-01-19 13:45 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-03 08:32 . 2008-07-02 07:06 -------- d-----w- d:\programme\ICQ6Toolbar
2010-04-30 12:58 . 2009-08-17 18:53 -------- d-----w- d:\programme\Spybot - Search & Destroy
2010-04-19 14:49 . 2006-10-11 12:47 37408 ----a-w- d:\windows\system32\GDIPFONTCACHEV1.DAT
2010-04-19 14:48 . 2010-04-19 14:48 1629 ----a-w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\xml1D.tmp
2010-04-19 14:48 . 2010-04-19 14:48 13969 ----a-w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\xml1C.tmp
2010-04-19 14:48 . 2010-04-19 14:48 9036 ----a-w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\xml1B.tmp
2010-04-19 07:48 . 2006-10-11 13:02 -------- d-----w- d:\dokumente und einstellungen\M&S Weber\Anwendungsdaten\OpenOffice.org2
2010-03-28 16:13 . 2006-02-28 12:00 80108 ----a-w- d:\windows\system32\perfc007.dat
2010-03-28 16:13 . 2006-02-28 12:00 448800 ----a-w- d:\windows\system32\perfh007.dat
2010-03-26 09:40 . 2009-12-11 13:47 -------- d-----w- d:\dokumente und einstellungen\M&S Weber\Anwendungsdaten\vlc
2010-03-09 20:20 . 2010-03-09 20:20 -------- d-----w- d:\dokumente und einstellungen\M&S Weber\Anwendungsdaten\elsterformular
2010-03-09 20:20 . 2007-04-26 11:18 -------- d-----w- d:\programme\ElsterFormular
2010-03-09 20:19 . 2010-03-09 20:19 -------- d-----w- d:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular
2010-03-09 11:09 . 2006-02-28 12:00 430080 ----a-w- d:\windows\system32\vbscript.dll
2010-02-26 05:41 . 2006-02-28 12:00 672768 ----a-w- d:\windows\system32\wininet.dll
2010-02-26 05:41 . 2006-02-28 12:00 81920 ----a-w- d:\windows\system32\ieencode.dll
2010-02-24 13:11 . 2006-02-28 12:00 455680 ----a-w- d:\windows\system32\drivers\mrxsmb.sys
2010-02-17 12:04 . 2006-02-28 12:00 2192256 ----a-w- d:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2004-08-04 00:50 2069120 ----a-w- d:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-17 18:01 293376 ------w- d:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2006-02-28 12:00 100864 ----a-w- d:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2006-02-28 12:00 226880 ----a-w- d:\windows\system32\drivers\tcpip6.sys
2010-02-05 15:37 . 2010-02-05 15:37 1078 ----a-r- d:\dokumente und einstellungen\M&S Weber\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_4ae13d6c.exe
2010-02-05 15:37 . 2010-02-05 15:37 1078 ----a-r- d:\dokumente und einstellungen\M&S Weber\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_2cd672ae.exe
2010-02-05 15:37 . 2010-02-05 15:37 1078 ----a-r- d:\dokumente und einstellungen\M&S Weber\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_294823.exe
2010-02-05 15:37 . 2010-02-05 15:37 1078 ----a-r- d:\dokumente und einstellungen\M&S Weber\Anwendungsdaten\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_18be6784.exe
2008-09-17 06:55 . 2008-09-17 06:55 14852 ----a-w- d:\programme\settings.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="d:\programme\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UMonit"="d:\windows\system32\umonit.exe" [2003-11-27 53248]
"Acronis Scheduler2 Service"="d:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-02-16 149024]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
NkvMon.exe.lnk.disabled [2007-3-3 1545]
Sonic CinePlayer Quick Launch.lnk - d:\programme\Gemeinsame Dateien\Sonic Shared\CineTray.exe [2005-8-11 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ComPlusSetup]
2008-04-14 02:22 625664 ----a-w- d:\windows\system32\catsrvut.dll

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkvMon.exe.lnk]
path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\NkvMon.exe.lnk
backup=d:\windows\pss\NkvMon.exe.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Kalendar Checker 4.0 SE.lnk]
path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Ulead Kalendar Checker 4.0 SE.lnk
backup=d:\windows\pss\Ulead Kalendar Checker 4.0 SE.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=d:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^M&S Weber^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=d:\dokumente und einstellungen\M&S Weber\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=d:\windows\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
2007-02-17 11:35 1966928 ----a-w- d:\programme\Acronis\TrueImageHome\TimounterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey]
2002-12-10 06:50 503808 ----a-w- d:\windows\twain_32\FlatBed\HotKey.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22 1695232 ----a-w- d:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NewsUpd]
2000-08-04 00:50 44032 ----a-w- d:\programme\Creative\News\NewsUpd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Register MediaRing Talk]
1999-10-04 17:23 73728 ------w- d:\programme\MediaRing Talk\Register.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-11-10 11:03 36975 ------w- d:\programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2007-02-17 11:31 1194728 ----a-w- d:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2002-04-26 17:53 12288 ------w- d:\programme\Winamp\winampa.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=d:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Designer\\Designer.exe"=
"d:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [28.01.2010 22:37 691696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [11.12.2009 15:26 108289]
R2 AVMPORT;AVMPORT;d:\windows\system32\drivers\avmport.sys [09.02.2007 17:55 59520]
R2 rvsport;rvsport;d:\windows\system32\drivers\RVSPORT.sys [20.01.2007 10:49 42496]
R2 SVKP;SVKP;d:\windows\system32\SVKP.sys [11.10.2006 17:17 2368]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;d:\windows\system32\drivers\avmwan.sys [02.05.2001 03:00 29968]
R3 es1969;ESS 1969-Audiotreiber (WDM);d:\windows\system32\drivers\es1969.sys [06.10.2006 14:00 72192]
S3 a1base;AVM ISDN-Controller A1;d:\windows\system32\drivers\fbase.sys [02.05.2001 03:00 510352]
S3 dtwmnic5;Telekom Eumex 504PC SE;d:\windows\system32\DRIVERS\dtwmnic5.sys --> d:\windows\system32\DRIVERS\dtwmnic5.sys [?]
S3 fixustor;fixustor;d:\windows\system32\drivers\fixustor.sys [10.10.2006 17:56 6016]
S3 MEMSWEEP2;MEMSWEEP2;\??\d:\windows\system32\6.tmp --> d:\windows\system32\6.tmp [?]
S3 ulisa;ulisa;d:\windows\system32\Drivers\ulisa.sys --> d:\windows\system32\Drivers\ulisa.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
mWindow Title = Microsoft Internet Explorer
FF - ProfilePath - d:\dokumente und einstellungen\M&S Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\kr2aqhjn.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: d:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\npmusicn.dll
FF - plugin: d:\programme\Viewpoint\Viewpoint Media Player\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-03 20:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
UMonit = d:\windows\system32\umonit.exe?USB\V?t??5e3&Ht??\???8???????Ht??8???Pt??OT_H????8???CI??????????????????????h??????wPt???????????b@?????????????????<$ ?|?????$?|???w??@????w????????????????????@???????????????t??????????????|X$?|?????$?|Q$?|??????????????@

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spqh.sys >>UNKNOWN [0x88B89938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9f53cb8
\Driver\atapi -> atapi.sys @ 0xb9f0eb40
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615
ParseProcedure -> ntoskrnl.exe @ 0x8056c3ac
NDIS: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9e18bd4
PacketIndicateHandler -> NDIS.sys @ 0xb9e06a0d
SendHandler -> NDIS.sys @ 0xb9e1ab40
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]
"ImagePath"="\??\d:\windows\system32\6.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(916)
d:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(2136)
d:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll
d:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL
d:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO860un71.dll
d:\progra~1\WINDOW~2\wmpband.dll
d:\windows\system32\WPDShServiceObj.dll
d:\programme\ArcSoft\PhotoImpression 5\share\pihook.dll
d:\windows\system32\PortableDeviceTypes.dll
d:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
d:\programme\Avira\AntiVir Desktop\avguard.exe
d:\windows\system32\IoctlSvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-03 20:19:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-05-03 18:19

Vor Suchlauf: 3.400.003.584 Bytes frei
Nach Suchlauf: 3.306.311.680 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 32790F385444348BD3ED14064E9E96C1

new-commer · 03.05.2010, 19:34

Hallo Arne,
es gab ein bischen Probleme. Ich konnte den Real Time Scanner von Anti Vir nicht deaktivieren. Dann wollte ich Combofix schließen und mich erst erkundigen, wie das geht. Das Programm hat trotzdem weiter gemacht- neu gestartet und gescannt. Zweimal kam auch eine Viren Meldung, die ich aber ignoriert habe.
Ich hoffe, es hat alles trotzdem geklappt.
Gruß

cosinus · 03.05.2010, 20:10

Das liegt leider an AntiVir, das kann das Sicherheitscenter u.U. dichtmüllen und CF glaub dann, es wäre noch aktiv, obwohl Regenschirm geschlossen. Noch nochmal etwas tiefer graben mit GMER und OSAM, poste davon mal Logs.

new-commer · 04.05.2010, 12:13

Wie sehen denn die Logs aus, die ich bis jetzt eingestellt habe ?

Seit dem Malwarebytes durchsucht hat, hat er sie Automatisch in Quarantäne verschoben. Es kommen keine Warnmeldungen mehr. Ich glaub das Program konnt aber nicht mit allen fertig werden. Ist mein Rechner noch infiziert ?
Gruß und Danke schonmal!

cosinus · 04.05.2010, 14:51

Zitat:

Wie sehen denn die Logs aus, die ich bis jetzt eingestellt habe ?

Das letzte von CF recht unauffällig und die anderen, tja da haben wir ja einiges entfernt mit OTL. Aber nun will ich die anderen Logs sehen.

new-commer · 04.05.2010, 21:47

Das erste kommt schon mal, das andere morgen.
Gruß

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-04 22:46:06
Windows 5.1.2600 Service Pack 3
Running: g2ovfdyi.exe; Driver: D:\DOKUME~1\M&SWEB~1\LOKALE~1\Temp\pxtdapog.sys

---- System - GMER 1.0.15 ----

SSDT BA7591D6 ZwCreateKey
SSDT BA7591CC ZwCreateThread
SSDT BA7591DB ZwDeleteKey
SSDT BA7591E5 ZwDeleteValueKey
SSDT spql.sys ZwEnumerateKey [0xB9FADDA4]
SSDT spql.sys ZwEnumerateValueKey [0xB9FAE132]
SSDT BA7591EA ZwLoadKey
SSDT spql.sys ZwOpenKey [0xB9F950C0]
SSDT BA7591B8 ZwOpenProcess
SSDT BA7591BD ZwOpenThread
SSDT spql.sys ZwQueryKey [0xB9FAE20A]
SSDT spql.sys ZwQueryValueKey [0xB9FAE08A]
SSDT BA7591F4 ZwReplaceKey
SSDT BA7591EF ZwRestoreKey
SSDT BA7591E0 ZwSetValueKey
SSDT BA7591C7 ZwTerminateProcess

INT 0x39 ? 889F8BF8
INT 0x39 ? 88B6BBF8
INT 0x3E ? 88B69BF8
INT 0x3F ? 88B69BF8

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 1D4 804E2840 4 Bytes JMP B8BA7591
? spql.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B3BAF8AC 5 Bytes JMP 889F81D8
.text aeoyexhe.SYS B327F386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text aeoyexhe.SYS B327F3AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text aeoyexhe.SYS B327F3C4 3 Bytes [00, 80, 02]
.text aeoyexhe.SYS B327F3C9 1 Byte [30]
.text aeoyexhe.SYS B327F3C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 88B6B2D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [B9FC0DDC] spql.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [B9FC0E30] spql.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9F96042] spql.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9F9613E] spql.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9F960C0] spql.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9F96800] spql.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9F966D6] spql.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9FA5B90] spql.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 889F82D8
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlInitUnicodeString] 8800001C
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!swprintf] 001CBA86
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeSetEvent] C61AEB00
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 001C8986
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 86C61200
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] 00001C8B
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmFreeMappingAddress] 96868801
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 8800001C
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 001CB286
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmUnmapIoSpace] 88968B00
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 8900001C
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IofCompleteRequest] 001CA496
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlCompareUnicodeString] C6168B00
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IofCallDriver] 001CC186
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmAllocateMappingAddress] 428A0A00
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] C286880C
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoConnectInterrupt] 8B00001C
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoDetachDevice] 24A48DFA
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeWaitForSingleObject] 00000000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeInitializeEvent] 4B8BDF8B
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeCancelTimer] 8D3F0304
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] CB033043
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlInitAnsiString] 0673C13B
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] C13B0003
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoQueueWorkItem] 8366FA72
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmMapIoSpace] 75000E7B
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 0B7D80E3
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoReportDetectedDevice] 307B8D00
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoReportResourceForDetection] 00AA840F
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 83660000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!NlsMbCodePageTag] 6A000E7A
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!PoRequestPowerIrp] C6647400
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] 001CC386
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] 4F8B0200
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!sprintf] 968D5140
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 00001C98
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!ObfDereferenceObject] 22F6E852
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 478B0000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 50016A40
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!ZwClose] 1CB48E8D
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] E8510000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] 000022E4
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] 6A18538B
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!PoStartNextPowerIrp] 868D5200
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoCreateDevice] 00001CA0
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlCopyUnicodeString] 22D2E850
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 4B8B0000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 51016A18
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!ZwOpenKey] 1CBC968D
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlFreeUnicodeString] E8520000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoStartTimer] 000022C0
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeInitializeTimer] 8A05478A
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoInitializeTimer] 001CC38E
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeInitializeDpc] 30C48300
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeInitializeSpinLock] 1CC58688
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoInitializeIrp] 80E90000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!ZwCreateKey] C6000000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 001CC386
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 438B0100
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!ZwSetValueKey] 8E8D5018
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeInsertQueueDpc] 00001C98
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 2292E851
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoStartPacket] 538B0000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 52016A18
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 1CB4868D
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoFreeMdl] E8500000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmUnlockPages] 00002280
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 8A05478A
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 001CC38E
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 18C48300
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 1CC58688
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeSynchronizeExecution] 43EB0000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoStartNextPacket] 320C538A
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeBugCheckEx] 88F93BC0
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 001CC396
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeSetTimer] F6317300
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!_allmul] 74070647
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmProbeAndLockPages] 75C0841A
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!_except_handler3] 05578A0B
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!PoSetPowerState] 968801B0
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 00001CC5
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlWriteRegistryValue] 57B60F66
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlDeleteRegistryValue] 533B6604
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!_aulldiv] 03087408
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!strstr] 72F93B3F
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!_strupr] 8A09EBDA
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeQuerySystemTime] 86880547
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 00001CC5
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!KeTickCount] 88084B8A
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] 001CC68E
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoDeleteDevice] 40578B00
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 8D52006A
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoAllocateWorkItem] 001CC886
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoAllocateIrp] 11E85000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoAllocateMdl] 8B000022
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 001CC08E
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmLockPagableDataSection] C4968B00
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 8900001C
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 001CCC8E
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!ExFreePoolWithTag] D0968900
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoFreeIrp] 8B00001C
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!IoFreeWorkItem] 016A4047
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!InitSafeBootMode] D4C68150
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!RtlCompareMemory] 5600001C
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!PoCallDriver] 0021E7E8
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!memmove] 18C48300
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[ntoskrnl.exe!MmHighestUserAddress] 5D5B5E5F
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!KfRaiseIrql] 00001CB1
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!HalTranslateBusAddress] 8986C636
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!READ_PORT_USHORT] 001C9686
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\aeoyexhe.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 88B681F8
Device \Driver\usbuhci \Device\USBPDO-0 887401F8
Device \Driver\PCI_PNP4496 \Device\00000047 spql.sys
Device \Driver\sptd \Device\837795936 spql.sys
Device \Driver\USBSTOR \Device\00000070 887E5500
Device \Driver\Ftdisk \Device\HarddiskVolume1 88BD81F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\USBSTOR \Device\00000071 887E5500
Device \Driver\Ftdisk \Device\HarddiskVolume2 88BD81F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom0 889F91F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 88BD81F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\NetBT \Device\NetBT_Tcpip_{5736B66F-D4B1-467B-8AAC-F8028761DA9D} 8882C500
Device \Driver\Cdrom \Device\CdRom1 889F91F8
Device \Driver\atapi \Device\Ide\IdePort0 [B9F0EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [B9F0EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [B9F0EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [B9F0EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 [B9F0EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 [B9F0EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Ftdisk \Device\HarddiskVolume4 88BD81F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom2 889F91F8
Device \Driver\Ftdisk \Device\HarddiskVolume5 88BD81F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\NetBT \Device\NetBt_Wins_Export 8882C500
Device \Driver\NetBT \Device\NetbiosSmb 8882C500
Device \Driver\usbuhci \Device\USBFDO-0 887401F8
Device \Driver\USBSTOR \Device\0000006c 887E5500
Device \Driver\USBSTOR \Device\0000006d 887E5500
Device \Driver\USBSTOR \Device\0000006e 887E5500
Device \Driver\USBSTOR \Device\0000006f 887E5500
Device \Driver\Ftdisk \Device\FtControl 88BD81F8
Device \Driver\aeoyexhe \Device\Scsi\aeoyexhe1Port2Path0Target0Lun0 8873B1F8
Device \Driver\aeoyexhe \Device\Scsi\aeoyexhe1 8873B1F8
Device \FileSystem\Cdfs \Cdfs 8885E500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xB7 0x14 0xD3 0x77 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA9 0x32 0x17 0x89 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x10 0xF5 0x4B 0x33 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x38 0x93 0x5D 0x1A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA9 0x32 0x17 0x89 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x10 0xF5 0x4B 0x33 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x48 0x59 0xF9 0xFA ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xA9 0x32 0x17 0x89 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x10 0xF5 0x4B 0x33 ...

---- EOF - GMER 1.0.15 ----

01.05.2010, 18:44	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Fakealert.kit1 Postest Du das Log von Malwarebytes noch? __________________ Logfiles bitte immer in CODE-Tags posten

03.05.2010, 20:10	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Fakealert.kit1 Das liegt leider an AntiVir, das kann das Sicherheitscenter u.U. dichtmüllen und CF glaub dann, es wäre noch aktiv, obwohl Regenschirm geschlossen. Noch nochmal etwas tiefer graben mit GMER und OSAM, poste davon mal Logs. __________________ Logfiles bitte immer in CODE-Tags posten

TR/Fakealert.kit1

Plagegeister aller Art und deren Bekämpfung: TR/Fakealert.kit1