Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: wA6mruD6.exe öffnet sich dauernd im Hintergund

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.05.2010, 00:31   #1
Tror
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Ich hab schon wochenlang irgendwelche Probleme mit meinem PC...mal findet Antivir plötzlich hundertmal denselben Virus in sich dauernd wieder neu erstellenden tmp-files, dann ist auf einmal die Sounderkennung deaktiviert und dann öffnen sich auch immer wieder einfach Random-browserfenster...das ist schon alles nervig genug, aber es hört auch immer wieder auf

Nun öffnet sich aber seit geraumer Zeit (so ein paar Tage) im Hintergrund die Im Titel erwähnte Datei die sich dann in den Vordergrund drückt und soweit ich das mitbekomme verucht sie auch noch den iexplorer zu öffnen (ich benutze aber Firefox btw) und darüber irgendwas zu machen...ich scanne seit ner Woche schon täglich mehrfach mein System mit Antivir und Malwarebytes und bis auf den ersten scan mit Malwarebytes kam die ganze Zeit nichts ( ich hab die betreffenden Sachen beim ersten Malwarebytesscan erfolgreich entfernt bekommen und da kam auch nie wieder was hinterher die ganze Woche).

Dieses komische Programm wA6mruD6.exe lässt sich auch nirgendwo finden mit der Suche und ich weiß derzeit keinen rat mehr...das einzige was ich derzeit machen kann ist das Programm im Taskmanager immer wieder zu beenden.

Ich hoffe, dass mir hier jemand helfen kann

Alt 15.05.2010, 07:49   #2
Kiyoshi
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Guten Morgen,
poste mal bitte das Logfile von Avira & Malwarebytes, damit wir sehen um welchen Virus es sich da halten soll.

Wo befindet sich die Datei "wA6mruD6.exe" ?
__________________


Alt 15.05.2010, 08:48   #3
Tror
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Dir auch einen guten Morgen.
du hast dir anscheinend meine Schilderung nicht wirklich durchgelesen...
die datei wird weder von antivir noch von Malwarebytes erkannt...also auch kein Logfile in dem irgendetwas gefundenes gelistet ist.
Und wo sich die Datei zum Prozess wA6mruD6.exe befindet weiß ich wie erwähnt auch nicht, da die Suche nix ergibt...
Ich hoffe es findet sich jemand, der mir ne Vorgehensweise vorgeben kann, was ich denn da jetzt am besten mache als erstes. Ich poste auch gern die leeren Logfiles von antivir und Malwarebytes wenn ausdrücklich gewünscht.
__________________

Geändert von Tror (15.05.2010 um 08:53 Uhr)

Alt 15.05.2010, 10:08   #4
Kiyoshi
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Hallo Tror,
Zitat:
Ich hab schon wochenlang irgendwelche Probleme mit meinem PC...mal findet Antivir plötzlich hundertmal denselben Virus
Das meinte ich! Vielleicht haben die Dateien etwas miteinander zu tun.

Mach bitte mal alle Dateien sichtbar --> http://www.trojaner-board.de/59624-a...-sichtbar.html
Findest du jetzt die Datei? Wenn ja, genauer Pfad angeben und bei http://www.virustotal.com/ hochladen - Ergebnis hier hinein posten.

Danach bitte ein RSIT auführen und Logfile/Ergebnis hier hinein posten

Danach bitte GMER --> http://www.trojaner-board.de/74908-a...t-scanner.html

Geändert von Kiyoshi (15.05.2010 um 10:16 Uhr)

Alt 15.05.2010, 10:32   #5
Tror
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Das mit den Dateien sichtbar machen mach ich schon immer mit bei jedem neu aufsetzen, also ist das alles so eingestellt wie du das wolltest von vornherein bei mir und finden tut sich da wie gesagt leider nix.


Hier mein RSIT-Log:

Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by Tror at 2010-05-15 10:23:04
Microsoft Windows XP Professional Service Pack 3
System drive C: has 68 GB (88%) free of 78 GB
Total RAM: 2046 MB (18% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:23:11, on 15.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Tools\Avira\AntiVir Desktop\sched.exe
D:\Tools\Avira\AntiVir Desktop\avguard.exe
D:\Tools\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
D:\Tools\Java\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4 .exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Tools\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Tools\WinTV\Ir.exe
D:\Tools\Open Office 3\OpenOffice.org 3\program\soffice.exe
D:\Tools\Open Office 3\OpenOffice.org 3\program\soffice.bin
C:\Programme\Analog Devices\Core\smax4pnp .exe
D:\Tools\iTunes\iTunesHelper .exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched .exe
C:\Programme\iPod\bin\iPodService.exe
D:\Tools\Mozilla Firefox\firefox.exe
D:\Tools\WinTV\WinTV2K.EXE
D:\Games\TrackmaniaNationsForever\TmForever.exe
D:\Tools\RSIT.exe
C:\Programme\trend micro\Tror.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://ad.reduxmedia.com/click2,RAQAAMLNDAAWmEYAAAAAANTgEgAAAAAAAgAAAAYAAAAAAP8AAAADAREGGgAAAAAAUIoDAAAAAAAp1BkAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADqmgYAAAAAAAIAAwAAAAAAWrAlGCgBAAAAAQAAADUzYmEyMjdlLTRjMDEtMTFkZi1hODE2LTAwMjQ4MWI0NDkyYgB8lioAAAA=odZHAA==,,http%3A%2F%2Fad.reduxmedia.com%2F,
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Tools\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Tools\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4 .exe" /tray
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "D:\Tools\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask .exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Tools\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Tools\Acrobat Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "D:\Tools\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Games\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = D:\Tools\Open Office 3\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: AutoStart IR.lnk = D:\Tools\WinTV\Ir.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{989C251A-F6F6-49D2-9B3F-61335B393702}: NameServer = 141.44.1.9,141.44.1.1
O20 - Winlogon Notify: opaqcx - C:\WINDOWS\SYSTEM32\opaqcx.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Tools\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Tools\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Tools\Java\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6813 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At100.job
C:\WINDOWS\tasks\At101.job
C:\WINDOWS\tasks\At102.job
C:\WINDOWS\tasks\At103.job
C:\WINDOWS\tasks\At104.job
C:\WINDOWS\tasks\At105.job
C:\WINDOWS\tasks\At106.job
C:\WINDOWS\tasks\At107.job
C:\WINDOWS\tasks\At108.job
C:\WINDOWS\tasks\At109.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At110.job
C:\WINDOWS\tasks\At111.job
C:\WINDOWS\tasks\At112.job
C:\WINDOWS\tasks\At113.job
C:\WINDOWS\tasks\At114.job
C:\WINDOWS\tasks\At115.job
C:\WINDOWS\tasks\At116.job
C:\WINDOWS\tasks\At117.job
C:\WINDOWS\tasks\At118.job
C:\WINDOWS\tasks\At119.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At120.job
C:\WINDOWS\tasks\At121.job
C:\WINDOWS\tasks\At122.job
C:\WINDOWS\tasks\At123.job
C:\WINDOWS\tasks\At124.job
C:\WINDOWS\tasks\At125.job
C:\WINDOWS\tasks\At126.job
C:\WINDOWS\tasks\At127.job
C:\WINDOWS\tasks\At128.job
C:\WINDOWS\tasks\At129.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At130.job
C:\WINDOWS\tasks\At131.job
C:\WINDOWS\tasks\At132.job
C:\WINDOWS\tasks\At133.job
C:\WINDOWS\tasks\At134.job
C:\WINDOWS\tasks\At135.job
C:\WINDOWS\tasks\At136.job
C:\WINDOWS\tasks\At137.job
C:\WINDOWS\tasks\At138.job
C:\WINDOWS\tasks\At139.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At140.job
C:\WINDOWS\tasks\At141.job
C:\WINDOWS\tasks\At142.job
C:\WINDOWS\tasks\At143.job
C:\WINDOWS\tasks\At144.job
C:\WINDOWS\tasks\At145.job
C:\WINDOWS\tasks\At146.job
C:\WINDOWS\tasks\At147.job
C:\WINDOWS\tasks\At148.job
C:\WINDOWS\tasks\At149.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At150.job
C:\WINDOWS\tasks\At151.job
C:\WINDOWS\tasks\At152.job
C:\WINDOWS\tasks\At153.job
C:\WINDOWS\tasks\At154.job
C:\WINDOWS\tasks\At155.job
C:\WINDOWS\tasks\At156.job
C:\WINDOWS\tasks\At157.job
C:\WINDOWS\tasks\At158.job
C:\WINDOWS\tasks\At159.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At160.job
C:\WINDOWS\tasks\At161.job
C:\WINDOWS\tasks\At162.job
C:\WINDOWS\tasks\At163.job
C:\WINDOWS\tasks\At164.job
C:\WINDOWS\tasks\At165.job
C:\WINDOWS\tasks\At166.job
C:\WINDOWS\tasks\At167.job
C:\WINDOWS\tasks\At168.job
C:\WINDOWS\tasks\At169.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At170.job
C:\WINDOWS\tasks\At171.job
C:\WINDOWS\tasks\At172.job
C:\WINDOWS\tasks\At173.job
C:\WINDOWS\tasks\At174.job
C:\WINDOWS\tasks\At175.job
C:\WINDOWS\tasks\At176.job
C:\WINDOWS\tasks\At177.job
C:\WINDOWS\tasks\At178.job
C:\WINDOWS\tasks\At179.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At180.job
C:\WINDOWS\tasks\At181.job
C:\WINDOWS\tasks\At182.job
C:\WINDOWS\tasks\At183.job
C:\WINDOWS\tasks\At184.job
C:\WINDOWS\tasks\At185.job
C:\WINDOWS\tasks\At186.job
C:\WINDOWS\tasks\At187.job
C:\WINDOWS\tasks\At188.job
C:\WINDOWS\tasks\At189.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At190.job
C:\WINDOWS\tasks\At191.job
C:\WINDOWS\tasks\At192.job
C:\WINDOWS\tasks\At193.job
C:\WINDOWS\tasks\At194.job
C:\WINDOWS\tasks\At195.job
C:\WINDOWS\tasks\At196.job
C:\WINDOWS\tasks\At197.job
C:\WINDOWS\tasks\At198.job
C:\WINDOWS\tasks\At199.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At200.job
C:\WINDOWS\tasks\At201.job
C:\WINDOWS\tasks\At202.job
C:\WINDOWS\tasks\At203.job
C:\WINDOWS\tasks\At204.job
C:\WINDOWS\tasks\At205.job
C:\WINDOWS\tasks\At206.job
C:\WINDOWS\tasks\At207.job
C:\WINDOWS\tasks\At208.job
C:\WINDOWS\tasks\At209.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At210.job
C:\WINDOWS\tasks\At211.job
C:\WINDOWS\tasks\At212.job
C:\WINDOWS\tasks\At213.job
C:\WINDOWS\tasks\At214.job
C:\WINDOWS\tasks\At215.job
C:\WINDOWS\tasks\At216.job
C:\WINDOWS\tasks\At217.job
C:\WINDOWS\tasks\At218.job
C:\WINDOWS\tasks\At219.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At220.job
C:\WINDOWS\tasks\At221.job
C:\WINDOWS\tasks\At222.job
C:\WINDOWS\tasks\At223.job
C:\WINDOWS\tasks\At224.job
C:\WINDOWS\tasks\At225.job
C:\WINDOWS\tasks\At226.job
C:\WINDOWS\tasks\At227.job
C:\WINDOWS\tasks\At228.job
C:\WINDOWS\tasks\At229.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At230.job
C:\WINDOWS\tasks\At231.job
C:\WINDOWS\tasks\At232.job
C:\WINDOWS\tasks\At233.job
C:\WINDOWS\tasks\At234.job
C:\WINDOWS\tasks\At235.job
C:\WINDOWS\tasks\At236.job
C:\WINDOWS\tasks\At237.job
C:\WINDOWS\tasks\At238.job
C:\WINDOWS\tasks\At239.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At240.job
C:\WINDOWS\tasks\At25.job
C:\WINDOWS\tasks\At26.job
C:\WINDOWS\tasks\At27.job
C:\WINDOWS\tasks\At28.job
C:\WINDOWS\tasks\At29.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At30.job
C:\WINDOWS\tasks\At31.job
C:\WINDOWS\tasks\At32.job
C:\WINDOWS\tasks\At33.job
C:\WINDOWS\tasks\At34.job
C:\WINDOWS\tasks\At35.job
C:\WINDOWS\tasks\At36.job
C:\WINDOWS\tasks\At37.job
C:\WINDOWS\tasks\At38.job
C:\WINDOWS\tasks\At39.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At40.job
C:\WINDOWS\tasks\At41.job
C:\WINDOWS\tasks\At42.job
C:\WINDOWS\tasks\At43.job
C:\WINDOWS\tasks\At44.job
C:\WINDOWS\tasks\At45.job
C:\WINDOWS\tasks\At46.job
C:\WINDOWS\tasks\At47.job
C:\WINDOWS\tasks\At48.job
C:\WINDOWS\tasks\At49.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At50.job
C:\WINDOWS\tasks\At51.job
C:\WINDOWS\tasks\At52.job
C:\WINDOWS\tasks\At53.job
C:\WINDOWS\tasks\At54.job
C:\WINDOWS\tasks\At55.job
C:\WINDOWS\tasks\At56.job
C:\WINDOWS\tasks\At57.job
C:\WINDOWS\tasks\At58.job
C:\WINDOWS\tasks\At59.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At60.job
C:\WINDOWS\tasks\At61.job
C:\WINDOWS\tasks\At62.job
C:\WINDOWS\tasks\At63.job
C:\WINDOWS\tasks\At64.job
C:\WINDOWS\tasks\At65.job
C:\WINDOWS\tasks\At66.job
C:\WINDOWS\tasks\At67.job
C:\WINDOWS\tasks\At68.job
C:\WINDOWS\tasks\At69.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At70.job
C:\WINDOWS\tasks\At71.job
C:\WINDOWS\tasks\At72.job
C:\WINDOWS\tasks\At73.job
C:\WINDOWS\tasks\At74.job
C:\WINDOWS\tasks\At75.job
C:\WINDOWS\tasks\At76.job
C:\WINDOWS\tasks\At77.job
C:\WINDOWS\tasks\At78.job
C:\WINDOWS\tasks\At79.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At80.job
C:\WINDOWS\tasks\At81.job
C:\WINDOWS\tasks\At82.job
C:\WINDOWS\tasks\At83.job
C:\WINDOWS\tasks\At84.job
C:\WINDOWS\tasks\At85.job
C:\WINDOWS\tasks\At86.job
C:\WINDOWS\tasks\At87.job
C:\WINDOWS\tasks\At88.job
C:\WINDOWS\tasks\At89.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At90.job
C:\WINDOWS\tasks\At91.job
C:\WINDOWS\tasks\At92.job
C:\WINDOWS\tasks\At93.job
C:\WINDOWS\tasks\At94.job
C:\WINDOWS\tasks\At95.job
C:\WINDOWS\tasks\At96.job
C:\WINDOWS\tasks\At97.job
C:\WINDOWS\tasks\At98.job
C:\WINDOWS\tasks\At99.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-04-04 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - D:\Tools\Java\bin\jp2ssv.dll [2010-04-28 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - D:\Tools\Java\lib\deploy\jqs\ie\jqs_plugin.dll [2010-04-28 79648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2006-02-28 208952]
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe [2006-02-28 59392]
"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2006-02-28 455168]
"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2006-02-28 455168]
"SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe [2010-05-13 36868]
"SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4 .exe [2006-04-10 729088]
"SSBkgdUpdate"=C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2010-05-13 36868]
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2010-05-13 36868]
"IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe [2010-05-13 36868]
"SetDefPrt"=C:\Programme\Brother\Brmfl04g\BrStDvPt.exe [2010-05-13 36868]
"ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe [2005-01-07 864256]
"nwiz"=nwiz.exe /installquiet []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2010-01-11 110696]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2010-01-11 13666408]
"avgnt"=D:\Tools\Avira\AntiVir Desktop\avgnt.exe [2010-03-02 282792]
"QuickTime Task"=C:\Programme\QuickTime\qttask .exe [2008-11-04 413696]
"iTunesHelper"=D:\Tools\iTunes\iTunesHelper.exe [2010-05-13 36868]
"SunJavaUpdateSched"=C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [2010-05-13 36868]
"Adobe Reader Speed Launcher"=D:\Tools\Acrobat Reader\Reader\Reader_sl.exe [2010-05-13 36868]
"Adobe ARM"=C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [2010-05-13 36868]
" Malwarebytes Anti-Malware  (reboot)"=D:\Tools\Malwarebytes' Anti-Malware\mbam.exe /runcleanupscript []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Steam"=D:\Games\Steam\Steam.exe [2010-05-13 36872]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
AutoStart IR.lnk - D:\Tools\WinTV\Ir.exe

C:\Dokumente und Einstellungen\Tror\Startmenü\Programme\Autostart
OpenOffice.org 3.0.lnk - D:\Tools\Open Office 3\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opaqcx]
C:\WINDOWS\system32\opaqcx.dll [2010-05-14 22016]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"D:\Tools\iTunes\iTunes.exe"="D:\Tools\iTunes\iTunes.exe:*:Enabled:iTunes"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\Games\Steam\SteamApps\trorcrashinghands\team fortress 2\hl2.exe"="D:\Games\Steam\SteamApps\trorcrashinghands\team fortress 2\hl2.exe:*:Enabled:hl2"
"D:\Games\Test Drive Unlimited\TestDriveUnlimited.exe"="D:\Games\Test Drive Unlimited\TestDriveUnlimited.exe:*:Disabled:Test Drive Unlimited"
"D:\Tools\ICQ6.5\ICQ.exe"="D:\Tools\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"D:\Games\TrackmaniaNationsForever\TmForever.exe"="D:\Games\TrackmaniaNationsForever\TmForever.exe:*:Enabled:TmForever"
"C:\WINDOWS\TEMP\qvor.tmp\svchost.exe"="C:\WINDOWS\TEMP\qvor.tmp\svchost.exe:*:Enabled:svchost"
"D:\Games\Test Drive Unlimited\Extras\Acrobat Reader GR.exe"="D:\Games\Test Drive Unlimited\Extras\Acrobat Reader GR.exe:*:Enabled:Acrobat Reader installieren"
"\??\C:\WINDOWS\system32\winlogon.exe"="\??\C:\WINDOWS\system32\winlogon.exe:*:Enabled:winlogon"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2010-05-14 01:14:57 ----HD---- C:\WINDOWS\system32\GroupPolicy
2010-05-14 01:10:06 ----A---- C:\WINDOWS\system32\opaqcx.dll
2010-05-13 23:42:26 ----HD---- C:\WINDOWS\PIF
2010-05-13 20:45:24 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wA6MruD6.exe
2010-05-10 17:52:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2010-05-10 17:48:20 ----D---- C:\WINDOWS\Temp
2010-05-05 17:52:04 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2010-04-28 12:20:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
2010-04-28 12:20:43 ----A---- C:\WINDOWS\system32\deployJava1.dll
2010-04-25 18:50:17 ----D---- C:\WINDOWS\system32\PreInstall
2010-04-25 18:50:16 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2010-04-25 01:27:42 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2010-04-24 00:45:30 ----D---- C:\WINDOWS\system32\NtmsData
2010-04-24 00:44:24 ----D---- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Avira
2010-04-23 18:08:14 ----D---- C:\rsit
2010-04-23 18:08:14 ----D---- C:\Programme\trend micro
2010-04-20 00:21:07 ----A---- C:\mbam-error.txt

======List of files/folders modified in the last 1 months======

2010-05-15 09:37:00 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-05-15 08:47:41 ----SD---- C:\WINDOWS\Tasks
2010-05-15 00:17:13 ----SHD---- C:\WINDOWS\Installer
2010-05-14 18:25:14 ----D---- C:\WINDOWS\system32\CatRoot2
2010-05-14 18:25:09 ----D---- C:\WINDOWS
2010-05-14 07:07:43 ----D---- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\vlc
2010-05-14 06:20:58 ----D---- C:\WINDOWS\system32\drivers
2010-05-14 02:02:32 ----D---- C:\WINDOWS\Registration
2010-05-14 01:14:57 ----D---- C:\WINDOWS\system32
2010-05-14 00:54:01 ----D---- C:\WINDOWS\WinSxS
2010-05-13 23:42:35 ----RSD---- C:\WINDOWS\Fonts
2010-05-13 20:42:41 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-05-13 20:42:31 ----D---- C:\Programme\QuickTime
2010-05-11 18:23:22 ----D---- C:\WINDOWS\Config
2010-05-10 17:54:12 ----D---- C:\WINDOWS\Prefetch
2010-05-10 17:48:24 ----D---- C:\WINDOWS\system32\DirectX
2010-05-05 17:52:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2010-05-05 17:52:04 ----D---- C:\Programme\Gemeinsame Dateien
2010-04-28 15:19:58 ----HD---- C:\WINDOWS\inf
2010-04-28 12:20:53 ----D---- C:\Programme\Gemeinsame Dateien\Java
2010-04-28 12:20:36 ----A---- C:\WINDOWS\system32\javaws.exe
2010-04-28 12:20:36 ----A---- C:\WINDOWS\system32\javaw.exe
2010-04-28 12:20:36 ----A---- C:\WINDOWS\system32\java.exe
2010-04-26 16:39:22 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2010-04-26 03:01:36 ----HD---- C:\WINDOWS\$hf_mig$
2010-04-25 01:27:51 ----D---- C:\WINDOWS\SoftwareDistribution
2010-04-25 01:27:48 ----D---- C:\WINDOWS\Help
2010-04-24 00:45:30 ----D---- C:\WINDOWS\repair
2010-04-24 00:20:56 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-04-23 18:08:14 ----RD---- C:\Programme
2010-04-20 04:31:56 ----D---- C:\WINDOWS\msagent
2010-04-20 00:45:57 ----D---- C:\WINDOWS\pchealth

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2005-03-09 43008]
R1 avgio;avgio; \??\D:\Tools\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2010-03-01 124784]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2010-02-16 60936]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2006-05-02 229888]
R3 AEAudio;AE Audio Service; C:\WINDOWS\system32\drivers\AEAudio.sys [2006-04-27 93824]
R3 BrScnUsb;Brother USB Still Image driver; C:\WINDOWS\System32\Drivers\BrScnUsb.sys [2004-10-15 15295]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2008-04-17 15464]
R3 hcwPP2;Hauppauge WinTV PVR PCI II ([23|25|26]xxx); C:\WINDOWS\system32\DRIVERS\hcwPP2.sys [2006-04-13 168064]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2010-01-12 10276768]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-03-22 52736]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-03-22 18944]
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys [2005-03-04 74496]
R3 SenFiltService;SenFilt Service; C:\WINDOWS\system32\drivers\Senfilt.sys [2006-03-17 392960]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 axj01qfp;axj01qfp; C:\WINDOWS\system32\drivers\axj01qfp.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; D:\Tools\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
R2 AntiVirService;Avira AntiVir Guard; D:\Tools\Avira\AntiVir Desktop\avguard.exe [2010-04-01 267432]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-11-07 132424]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-08-29 238888]
R2 JavaQuickStarterService;Java Quick Starter; D:\Tools\Java\bin\jqs.exe [2010-04-28 153376]
R2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2010-01-11 154216]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-11-20 536872]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]

-----------------EOF-----------------
         

Gmer folgt gleich. Ich bin aber erst morgen Abend wieder am PC, also kann ich da dann auch erst weitere Schritte einleiten


Alt 15.05.2010, 10:40   #6
Kiyoshi
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Hey,
Okay dann noch GMER.

Siehst du denn die Datei
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wA6MruD6.exe"
und kannst die zu http://www.virustotal.com/de/ hochladen wenn du den Pfad eingibst?

Lade bitte folgende Datei zu http://www.virustotal.com/de/ hoch
C:\WINDOWS\SYSTEM32\opaqcx.dll

Bis morgen dann
Kiyoshi

Alt 15.05.2010, 11:14   #7
Tror
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



so hier erstmal GMER:

Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-15 10:57:47
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Tror\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            B0AA4716                                                                                                             ZwCreateKey
SSDT            B0AA470C                                                                                                             ZwCreateThread
SSDT            B0AA471B                                                                                                             ZwDeleteKey
SSDT            B0AA4725                                                                                                             ZwDeleteValueKey
SSDT            sprr.sys                                                                                                             ZwEnumerateKey [0xB7EC6CA2]
SSDT            sprr.sys                                                                                                             ZwEnumerateValueKey [0xB7EC7030]
SSDT            B0AA472A                                                                                                             ZwLoadKey
SSDT            sprr.sys                                                                                                             ZwOpenKey [0xB7EA80C0]
SSDT            B0AA46F8                                                                                                             ZwOpenProcess
SSDT            B0AA46FD                                                                                                             ZwOpenThread
SSDT            sprr.sys                                                                                                             ZwQueryKey [0xB7EC7108]
SSDT            sprr.sys                                                                                                             ZwQueryValueKey [0xB7EC6F88]
SSDT            B0AA4734                                                                                                             ZwReplaceKey
SSDT            B0AA472F                                                                                                             ZwRestoreKey
SSDT            B0AA4720                                                                                                             ZwSetValueKey

INT 0x62        ?                                                                                                                    89E54BF8
INT 0x63        ?                                                                                                                    89DE3BF8
INT 0x73        ?                                                                                                                    89DE3BF8
INT 0x83        ?                                                                                                                    89DE3BF8
INT 0x83        ?                                                                                                                    89B8BBF8
INT 0x83        ?                                                                                                                    89DE3BF8
INT 0xB4        ?                                                                                                                    89B8BBF8

---- Kernel code sections - GMER 1.0.15 ----

?               sprr.sys                                                                                                             Das System kann die angegebene Datei nicht finden. !
.rsrc           C:\WINDOWS\system32\drivers\dmio.sys                                                                                 entry point in ".rsrc" section [0xB7E2CB14]
.text           USBPORT.SYS!DllUnload                                                                                                B6CC98AC 5 Bytes  JMP 89B8B1D8 
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                             section is writeable [0xB5423380, 0x550AF5, 0xE8000020]
.text           a1s6tuua.SYS                                                                                                         B3537386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text           a1s6tuua.SYS                                                                                                         B35373AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text           a1s6tuua.SYS                                                                                                         B35373C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text           a1s6tuua.SYS                                                                                                         B35373C9 1 Byte  [2E]
.text           a1s6tuua.SYS                                                                                                         B35373C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
.text           ...                                                                                                                  
init            C:\WINDOWS\system32\drivers\Senfilt.sys                                                                              entry point in "init" section [0xAFAA4A00]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\Explorer.EXE[336] ntdll.dll!NtProtectVirtualMemory                                                        7C91D6D0 5 Bytes  JMP 00A2000A 
.text           C:\WINDOWS\Explorer.EXE[336] ntdll.dll!NtWriteVirtualMemory                                                          7C91DF90 5 Bytes  JMP 00AC000A 
.text           C:\WINDOWS\Explorer.EXE[336] ntdll.dll!KiUserExceptionDispatcher                                                     7C91E45C 5 Bytes  JMP 00A1000C 
.text           C:\WINDOWS\System32\svchost.exe[1336] ntdll.dll!NtProtectVirtualMemory                                               7C91D6D0 5 Bytes  JMP 0085000A 
.text           C:\WINDOWS\System32\svchost.exe[1336] ntdll.dll!NtWriteVirtualMemory                                                 7C91DF90 5 Bytes  JMP 0086000A 
.text           C:\WINDOWS\System32\svchost.exe[1336] ntdll.dll!KiUserExceptionDispatcher                                            7C91E45C 5 Bytes  JMP 006F000C 
.text           C:\WINDOWS\System32\svchost.exe[1336] ole32.dll!CoCreateInstance                                                     774D057E 3 Bytes  JMP 00D9000A 
.text           C:\WINDOWS\System32\svchost.exe[1336] ole32.dll!CoCreateInstance + 4                                                 774D0582 1 Byte  [89]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                   [B7EA9040] sprr.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                           [B7EA913C] sprr.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [B7EA90BE] sprr.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [B7EA97FC] sprr.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [B7EA96D2] sprr.sys
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!KfAcquireSpinLock]                                                 C0840CEC
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!READ_PORT_UCHAR]                                                   053C0D74
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!KeGetCurrentIrql]                                                  57B80974
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!KfRaiseIrql]                                                       8B000000
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!KfLowerIrql]                                                       56C35DE5
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!HalGetInterruptVector]                                             8D08758B
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!HalTranslateBusAddress]                                            8D51FC4D
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!KeStallExecutionProcessor]                                         8D52FD55
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!KfReleaseSpinLock]                                                 8D51FE4D
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                           8D52FF55
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!READ_PORT_USHORT]                                                  8D51F84D
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          5052F455
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  EACAE856
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[WMILIB.SYS!WmiSystemControl]                                               0FC08520
IAT             \SystemRoot\System32\Drivers\a1s6tuua.SYS[WMILIB.SYS!WmiCompleteRequest]                                             0001B185
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                   [B7EB9048] sprr.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                               89DE21F8
Device          \FileSystem\Fastfat \FatCdrom                                                                                        899EF500
Device          \Driver\PCI_PNP2794 \Device\00000040                                                                                 sprr.sys
Device          \Driver\usbohci \Device\USBPDO-0                                                                                     89ABF340
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            89DE41F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                              89DE41F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                 89DE41F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                89DE41F8
Device          \Driver\usbehci \Device\USBPDO-1                                                                                     89AB71F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{989C251A-F6F6-49D2-9B3F-61335B393702}                                             88B381F8
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                               89E551F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                               89E551F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                         89AAF1F8
Device          \Driver\Cdrom \Device\CdRom1                                                                                         89AAF1F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                   [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                          [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                   [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                          [B7DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\Cdrom \Device\CdRom2                                                                                         89AAF1F8
Device          \Driver\usbstor \Device\00000075                                                                                     88A5D1F8
Device          \Driver\usbstor \Device\00000076                                                                                     88A5D1F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              88B381F8
Device          \Driver\sptd \Device\599480294                                                                                       sprr.sys
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                     88B381F8
Device          \Driver\usbohci \Device\USBFDO-0                                                                                     89ABF340
Device          \Driver\nvata \Device\0000006c                                                                                       89DE31F8
Device          \Driver\usbstor \Device\0000007a                                                                                     88A5D1F8
Device          \Driver\usbehci \Device\USBFDO-1                                                                                     89AB71F8
Device          \Driver\nvata \Device\NvAta0                                                                                         89DE31F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    88AAD1F8
Device          \Driver\usbstor \Device\0000007b                                                                                     88A5D1F8
Device          \Driver\nvata \Device\NvAta1                                                                                         89DE31F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          88AAD1F8
Device          \Driver\usbstor \Device\0000007c                                                                                     88A5D1F8
Device          \Driver\nvata \Device\NvAta2                                                                                         89DE31F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{2029CABB-870A-43CD-88F1-36179196D293}                                             88B381F8
Device          \Driver\usbstor \Device\0000007d                                                                                     88A5D1F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                     89E551F8
Device          \Driver\usbstor \Device\0000007e                                                                                     88A5D1F8
Device          \Driver\a1s6tuua \Device\Scsi\a1s6tuua1Port5Path0Target0Lun0                                                         899F2500
Device          \Driver\a1s6tuua \Device\Scsi\a1s6tuua1                                                                              899F2500
Device          \FileSystem\Fastfat \Fat                                                                                             899EF500

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                             fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                               895771F8
Device           -> \Driver\nvata \Device\Harddisk0\DR0                                                                              89C1DAC8

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  D:\Tools\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0xF1 0x5E 0x6E 0x4A ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x35 0x89 0x6B 0x54 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x9E 0x57 0x60 0xD6 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      D:\Tools\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0xF1 0x5E 0x6E 0x4A ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x35 0x89 0x6B 0x54 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x9E 0x57 0x60 0xD6 ...

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\drivers\dmio.sys                                                                                 suspicious modification
File            C:\WINDOWS\system32\drivers\nvata.sys                                                                                suspicious modification

---- EOF - GMER 1.0.15 ----
         

ja die Datei find ich genau wo du gesagt hast...aber die Windows-suche gab mir jedesmal kein Ergebnis...
Hab sie auch gleich bei virustotal scannen lassen, weiß aber grad nicht was davon ich dann hier posten soll also füg ich einfach mal alles ein:


Datei wA6MruD6.exe empfangen 2010.05.15 09:06:56 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/41 (12.2%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.15.00 2010.05.14 -
AntiVir 8.2.1.242 2010.05.14 -
Antiy-AVL 2.0.3.7 2010.05.14 -
Authentium 5.2.0.5 2010.05.14 -
Avast 4.8.1351.0 2010.05.14 -
Avast5 5.0.332.0 2010.05.14 -
AVG 9.0.0.787 2010.05.14 -
BitDefender 7.2 2010.05.15 -
CAT-QuickHeal 10.00 2010.05.15 -
ClamAV 0.96.0.3-git 2010.05.15 -
Comodo 4844 2010.05.15 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.05.15 -
eSafe 7.0.17.0 2010.05.13 -
eTrust-Vet 35.2.7490 2010.05.15 -
F-Prot 4.5.1.85 2010.05.14 -
F-Secure 9.0.15370.0 2010.05.14 -
Fortinet 4.1.133.0 2010.05.15 -
GData 21 2010.05.15 -
Ikarus T3.1.1.84.0 2010.05.15 -
Jiangmin 13.0.900 2010.05.14 -
Kaspersky 7.0.0.125 2010.05.15 -
McAfee 5.400.0.1158 2010.05.15 -
McAfee-GW-Edition 2010.1 2010.05.15 Artemis!BF00603D9A6A
Microsoft 1.5703 2010.05.14 -
NOD32 5115 2010.05.14 -
Norman 6.04.12 2010.05.15 W32/Malware.MNDM
nProtect 2010-05-15.01 2010.05.15 -
Panda 10.0.2.7 2010.05.14 Trj/Sinowal.XAW
PCTools 7.0.3.5 2010.05.15 -
Prevx 3.0 2010.05.15 -
Rising 22.47.04.03 2010.05.14 -
Sophos 4.53.0 2010.05.15 -
Sunbelt 6304 2010.05.15 -
Symantec 20101.1.0.89 2010.05.15 -
TheHacker 6.5.2.0.280 2010.05.14 -
TrendMicro 9.120.0.1004 2010.05.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.15 -
VBA32 3.12.12.5 2010.05.14 SScope.Injector.MY
ViRobot 2010.5.15.2317 2010.05.15 -
VirusBuster 5.0.27.0 2010.05.14 -
weitere Informationen
File size: 69122 bytes
MD5...: bf00603d9a6ac9b444360b2b86564f4f
SHA1..: 748c69cda6f372e1913bd5697544f0acfadf8693
SHA256: 899a7f856b682a82579021fab1c10e7e2615b6cea92c3eb9c9577ea4b65b4e01
ssdeep: 1536:kjY1rpo4CasLqJIl56FMraQ9iCjlgGnaSB:gA95Il564NialgGaSB
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3330
timedatestamp.....: 0x4bea6be5 (Wed May 12 08:50:45 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2370 0x2400 6.06 7480b9bdd621e7136a73fadc8e920da0
.rdata 0x4000 0x110 0x200 2.51 b1b09bc40aae4e5c9643343d04d5cdbf
.data 0x5000 0xe2bc 0xe200 7.94 b67ecbb59e19f01f62b57c543cd068db
.rsrc 0x14000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b

( 2 imports )
> KERNEL32.dll: HeapAlloc, GetProcessHeap, ExitProcess, GetProcAddress, GetModuleHandleA
> USER32.dll: GetScrollInfo, GetClientRect

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


so nun dasselbe noch mit der opaqcx.dll:


Datei opaqcx.dll empfangen 2010.05.15 09:11:46 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/41 (7.32%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.15.00 2010.05.14 Trojan/Win32.CSon
AntiVir 8.2.1.242 2010.05.14 -
Antiy-AVL 2.0.3.7 2010.05.14 -
Authentium 5.2.0.5 2010.05.14 -
Avast 4.8.1351.0 2010.05.14 -
Avast5 5.0.332.0 2010.05.14 -
AVG 9.0.0.787 2010.05.14 -
BitDefender 7.2 2010.05.15 -
CAT-QuickHeal 10.00 2010.05.15 -
ClamAV 0.96.0.3-git 2010.05.15 -
Comodo 4844 2010.05.15 -
DrWeb 5.0.2.03300 2010.05.15 -
eSafe 7.0.17.0 2010.05.13 -
eTrust-Vet 35.2.7490 2010.05.15 -
F-Prot 4.5.1.85 2010.05.14 -
F-Secure 9.0.15370.0 2010.05.14 -
Fortinet 4.1.133.0 2010.05.15 -
GData 21 2010.05.15 -
Ikarus T3.1.1.84.0 2010.05.15 -
Jiangmin 13.0.900 2010.05.14 -
Kaspersky 7.0.0.125 2010.05.15 -
McAfee 5.400.0.1158 2010.05.15 -
McAfee-GW-Edition 2010.1 2010.05.15 -
Microsoft 1.5703 2010.05.14 -
NOD32 5115 2010.05.14 -
Norman 6.04.12 2010.05.15 -
nProtect 2010-05-15.01 2010.05.15 -
Panda 10.0.2.7 2010.05.14 Suspicious file
PCTools 7.0.3.5 2010.05.15 -
Prevx 3.0 2010.05.15 -
Rising 22.47.04.03 2010.05.14 -
Sophos 4.53.0 2010.05.15 -
Sunbelt 6304 2010.05.15 -
Symantec 20101.1.0.89 2010.05.15 -
TheHacker 6.5.2.0.280 2010.05.14 -
TrendMicro 9.120.0.1004 2010.05.15 PAK_Generic.012
TrendMicro-HouseCall 9.120.0.1004 2010.05.15 -
VBA32 3.12.12.5 2010.05.14 -
ViRobot 2010.5.15.2317 2010.05.15 -
VirusBuster 5.0.27.0 2010.05.14 -
weitere Informationen
File size: 22016 bytes
MD5...: c03e565180e93c4c64a00041b86032ae
SHA1..: 8c6dcd8fa68f976e874b031885e9bb52b50c31c6
SHA256: 3772af0727fd8bd343f45c3814330d1ce6a21494286496a8898a1f6036d0d6d1
ssdeep: 192:eZGogHT93UAinLxb2qhJ/7k8EDfxwSSSrzAnike1KDd:eZxAcdb2qhJ/7XED
ZiSAfe1KD
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4bebf1a3 (Thu May 13 12:33:39 2010)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xdd0 0xe00 5.76 2229f696d20d3af6f5abc55dffac6656
.rdata 0x2000 0x2b70 0x2c00 5.15 66306151aff2732255694a1c14546947
.data 0x5000 0xfa 0x200 2.12 2c02fb6033a443a08a0df02337afcef6
.rsrc 0x6000 0x13c8 0x1400 2.57 c085acf9b947c53a5235cade8ccd7c9b
.reloc 0x8000 0x6000 0x200 1.57 880ac363bffe0a05c60887ec439d9b22

( 2 imports )
> KERNEL32.dll: ExitProcess, VirtualProtect, LoadLibraryA, GetProcAddress, VirtualAlloc
> SHLWAPI.dll: ColorAdjustLuma

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (38.3%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Ich hoffe das gibt dir erstmal genug zum arbeiten, damit ich morgen gleich weiter ran kann
Danke schonmal für die tolle Hilfe und bis morgen

Alt 15.05.2010, 11:27   #8
Kiyoshi
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Kein Problem - Bis morgen!

Tu dann bitte folgendes:
Sende bitte folgende Dateien über das Formular an Avira:
Zitat:
C:\WINDOWS\SYSTEM32\opaqcx.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wA6MruD6.exe
Dazu öffne folgende Seite und lade beie Dateien hoch als "Verdächtigte Datei"
http://analysis.avira.com/samples/index.php

GMER:
Zitat:
File C:\WINDOWS\system32\drivers\dmio.sys suspicious modification
File C:\WINDOWS\system32\drivers\nvata.sys suspicious modification
Hast zwei Rootkit. Melde mich später wieder

Geändert von Kiyoshi (15.05.2010 um 12:19 Uhr) Grund: Rootkit

Alt 15.05.2010, 12:15   #9
Angel21
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Hallo,

Zitat:
File C:\WINDOWS\system32\drivers\dmio.sys suspicious modification
File C:\WINDOWS\system32\drivers\nvata.sys suspicious modification
Das ist TDL eine neuere Version. Der lässt sich schlecht entfernen. Ich würde dir ein Neuaufsetzen anraten.

Falls du weiterhin bereinigen möchtest tue folgendes:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista-User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 15.05.2010, 12:24   #10
Kiyoshi
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Angel21 hat sich dazu gemeldet - sieht jedoch nicht gut aus

Alt 17.05.2010, 09:41   #11
Tror
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Guten Morgen und danke für die weitere Hilfe (obwohl ich über die schlechten Neuigkeiten nicht wirklich glücklich bin, da ich beim Terminus "neu aufsetzen" mitlerweile nen Ausschlag krieg )
Ich hab die beiden Dateien zu Avira geschickt und werde jetzt euren weiteren Anweisungen mit OTL folge leisten ums wenigstens zu probieren ohne neu aufsetzen davon zu kommen.
Ich melde mich danach wieder.

Edit: die beiden logs kommen jetzt

OTL.txt:


OTL logfile created on: 17.05.2010 09:47:23 - Run 1
OTL by OldTimer - Version 3.2.4.1 Folder = C:\Dokumente und Einstellungen\Tror\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 77,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 76,32 Gb Total Space | 66,85 Gb Free Space | 87,59% Space Free | Partition Type: NTFS
Drive D: | 465,76 Gb Total Space | 91,41 Gb Free Space | 19,63% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: BKB
Current User Name: Tror
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2010.05.17 09:41:39 | 000,571,392 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Tror\Desktop\OTL.exe
PRC - [2010.05.13 20:42:31 | 000,036,868 | ---- | M] () -- C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
PRC - [2010.04.28 12:20:36 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- D:\Tools\Java\bin\jqs.exe
PRC - [2010.04.01 13:33:15 | 000,267,432 | ---- | M] (Avira GmbH) -- D:\Tools\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.02 11:28:23 | 000,282,792 | ---- | M] (Avira GmbH) -- D:\Tools\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- D:\Tools\Avira\AntiVir Desktop\sched.exe
PRC - [2010.02.18 11:43:18 | 000,248,040 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched .exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- D:\Tools\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.01.09 21:14:48 | 007,418,368 | ---- | M] (OpenOffice.org) -- D:\Tools\Open Office 3\OpenOffice.org 3\program\soffice.bin
PRC - [2009.01.09 21:14:42 | 007,424,000 | ---- | M] (OpenOffice.org) -- D:\Tools\Open Office 3\OpenOffice.org 3\program\soffice.exe
PRC - [2008.11.20 14:20:54 | 000,290,088 | ---- | M] (Apple Inc.) -- D:\Tools\iTunes\iTunesHelper .exe
PRC - [2008.11.07 15:28:16 | 000,132,424 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.05.01 04:07:44 | 000,843,776 | R--- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\Core\smax4pnp .exe
PRC - [2006.04.10 10:19:46 | 000,729,088 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\Smax4 .exe
PRC - [2006.02.09 20:15:42 | 000,106,551 | ---- | M] (Hauppauge Computer Works) -- D:\Tools\WinTV\Ir.exe
PRC - [2005.01.07 18:30:56 | 000,864,256 | ---- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\ControlCenter2\brctrcen.exe


========== Modules (SafeList) ==========

MOD - [2010.05.17 09:41:39 | 000,571,392 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Tror\Desktop\OTL.exe
MOD - [2008.04.14 08:51:08 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx


========== Win32 Services (SafeList) ==========

SRV - [2010.04.28 12:20:36 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) [Auto | Running] -- D:\Tools\Java\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2010.04.01 13:33:15 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- D:\Tools\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- D:\Tools\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.11.07 15:28:16 | 000,132,424 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)


========== Driver Services (SafeList) ==========

DRV - [2010.05.14 02:57:33 | 000,154,112 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\dmio.sys -- (dmio)
DRV - [2010.03.21 22:27:36 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2010.03.01 10:05:19 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.02.16 14:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.01.12 06:03:33 | 010,276,768 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 13:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- D:\Tools\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 23:06:06 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2006.05.02 11:12:40 | 000,229,888 | R--- | M] (Analog Devices, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService)
DRV - [2006.04.24 11:52:28 | 000,100,736 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvata.sys -- (nvata)
DRV - [2006.04.13 22:47:36 | 000,168,064 | R--- | M] (Hauppauge Computer Works, Inc.) [23|25|26]xxx) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hcwPP2.sys -- (hcwPP2)
DRV - [2006.03.22 08:24:02 | 000,018,944 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.03.22 08:24:00 | 000,052,736 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006.03.17 12:18:58 | 000,392,960 | R--- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
DRV - [2005.03.09 16:53:00 | 000,043,008 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2005.03.04 05:10:26 | 000,074,496 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys -- (RTL8023xp)
DRV - [2004.10.15 13:50:20 | 000,015,295 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrScnUsb.sys -- (BrScnUsb)
DRV - [2004.08.13 04:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

========== FireFox ==========

FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3971

FF - HKLM\software\mozilla\Firefox\extensions\\jqs@sun.com: D:\Tools\Java\lib\deploy\jqs\ff [2010.04.28 12:20:37 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: D:\Tools\Mozilla Firefox\components [2010.05.10 05:02:23 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: D:\Tools\Mozilla Firefox\plugins [2010.05.05 17:52:48 | 000,000,000 | ---D | M]

[2010.03.16 16:31:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Extensions
[2010.03.16 16:31:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\2b502jvp.default\extensions
[2010.05.17 09:44:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions
[2010.03.16 16:31:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.03.16 16:31:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.05.04 23:43:08 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.04.29 21:02:11 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2010.05.04 23:48:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\lwsr0sx8.default\extensions\video.downloader.plugin@ffpimp.com
[2010.03.16 16:31:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla\Firefox\Profiles\o615735r.default\extensions

O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Tools\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Tools\Java\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe ()
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] D:\Tools\Acrobat Reader\Reader\Reader_sl.exe ()
O4 - HKLM..\Run: [avgnt] D:\Tools\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe ()
O4 - HKLM..\Run: [ Malwarebytes Anti-Malware (reboot)] D:\Tools\Malwarebytes' Anti-Malware\mbam.exe File not found
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKLM..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe ()
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask .exe (Apple Inc.)
O4 - HKLM..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe ()
O4 - HKLM..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4 .exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe ()
O4 - HKCU..\Run: [Steam] D:\Games\Steam\Steam.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk = D:\Tools\WinTV\Ir.exe (Hauppauge Computer Works)
O4 - Startup: C:\Dokumente und Einstellungen\Tror\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = D:\Tools\Open Office 3\OpenOffice.org 3\program\quickstart.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\opaqcx: DllName - opaqcx.dll - C:\WINDOWS\System32\opaqcx.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.03.16 15:41:22 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2010.03.16 16:04:21 | 000,000,000 | ---D | M]
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
NetSvcs: SSHNAS - File not found

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (17183584330711040)

========== Files/Folders - Created Within 90 Days ==========

[2010.05.17 09:41:39 | 000,571,392 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Tror\Desktop\OTL.exe
[2010.05.14 01:14:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy
[2010.05.13 23:42:26 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2010.05.13 23:37:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Malwarebytes
[2010.05.10 17:52:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.05.10 17:52:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2010.05.10 17:52:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
[2010.05.10 17:48:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\TrackMania
[2010.05.10 17:48:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\Temp
[2010.05.05 17:52:04 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe
[2010.05.04 23:46:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\dwhelper
[2010.04.28 12:20:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.04.28 12:19:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Downloads
[2010.04.25 18:50:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\PreInstall
[2010.04.25 01:27:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\SoftwareDistribution
[2010.04.24 00:45:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.04.24 00:44:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Avira
[2010.04.23 18:08:14 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.04.23 18:08:14 | 000,000,000 | ---D | C] -- C:\rsit
[2010.04.23 12:16:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.04.20 00:24:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.04.20 00:24:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.04.15 17:22:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\OpenOffice.org
[2010.04.13 19:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\ICQ
[2010.04.13 19:23:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\teamspeak2
[2010.04.10 02:48:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\DivX
[2010.04.01 22:25:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Test Drive Unlimited
[2010.04.01 22:24:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
[2010.03.31 17:53:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Total Overdose
[2010.03.30 16:12:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun
[2010.03.30 13:09:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\dvdcss
[2010.03.30 10:06:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\vlc
[2010.03.22 04:02:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\SH4
[2010.03.21 22:40:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\InstallShield
[2010.03.21 22:27:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\DAEMON Tools
[2010.03.21 21:12:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Alcohol 120%
[2010.03.21 04:11:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\WinRAR
[2010.03.16 17:23:54 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\IviSDK
[2010.03.16 17:22:57 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.03.16 17:08:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.03.16 17:00:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Macromedia
[2010.03.16 17:00:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Adobe
[2010.03.16 16:59:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
[2010.03.16 16:52:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs
[2010.03.16 16:49:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de-de
[2010.03.16 16:49:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\l2schemas
[2010.03.16 16:49:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de
[2010.03.16 16:49:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits
[2010.03.16 16:49:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Tror\Recent
[2010.03.16 16:48:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\ServicePackFiles
[2010.03.16 16:46:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\network diagnostic
[2010.03.16 16:45:08 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$
[2010.03.16 16:41:11 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.03.16 16:41:10 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.03.16 16:41:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Sun
[2010.03.16 16:40:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Apple Computer
[2010.03.16 16:39:38 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2010.03.16 16:39:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[2010.03.16 16:39:29 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
[2010.03.16 16:39:12 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.03.16 16:39:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
[2010.03.16 16:39:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Lokale Einstellungen\Anwendungsdaten\Apple
[2010.03.16 16:39:05 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update
[2010.03.16 16:39:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE
[2010.03.16 16:38:47 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Apple
[2010.03.16 16:38:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
[2010.03.16 16:37:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Lokale Einstellungen\Anwendungsdaten\Apple Computer
[2010.03.16 16:35:16 | 000,286,720 | ---- | C] (Zilog) -- C:\WINDOWS\System32\hcwzblast.dll
[2010.03.16 16:35:16 | 000,081,983 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwblast.ocx
[2010.03.16 16:35:16 | 000,073,792 | ---- | C] (Hauppauge Computer Works, Inc) -- C:\WINDOWS\System32\ChSuite.ocx
[2010.03.16 16:35:16 | 000,065,603 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwIRblast.dll
[2010.03.16 16:35:16 | 000,040,960 | ---- | C] (Hauppauge Computer Works, Inc) -- C:\WINDOWS\System32\GButton.ocx
[2010.03.16 16:33:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
[2010.03.16 16:31:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.03.16 16:31:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Mozilla
[2010.03.16 16:29:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Malwarebytes
[2010.03.16 16:29:28 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.16 16:29:22 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.03.16 16:29:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.03.16 16:27:49 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.03.16 16:27:49 | 000,051,992 | ---- | C] (AVIRA GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.03.16 16:27:49 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.03.16 16:27:49 | 000,017,016 | ---- | C] (AVIRA GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.03.16 16:27:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2010.03.16 16:16:04 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$MSI31Uninstall_KB893803v2$
[2010.03.16 16:15:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
[2010.03.16 16:15:19 | 000,000,000 | ---D | C] -- C:\Programme\NVIDIA Corporation
[2010.03.16 16:14:57 | 000,061,440 | ---- | C] (Khronos Group) -- C:\WINDOWS\System32\OpenCL.dll
[2010.03.16 16:14:52 | 000,000,000 | ---D | C] -- C:\NVIDIA
[2010.03.16 16:14:01 | 000,074,496 | R--- | C] (Realtek Semiconductor Corporation ) -- C:\WINDOWS\System32\drivers\Rtlnicxp.sys
[2010.03.16 16:09:04 | 000,319,488 | R--- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwECP.ax
[2010.03.16 16:09:03 | 000,253,952 | R--- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwCCnv2.ax
[2010.03.16 16:09:02 | 000,274,432 | R--- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwPrxA2.ax
[2010.03.16 16:09:01 | 000,168,064 | R--- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\drivers\hcwPP2.sys
[2010.03.16 16:07:43 | 000,188,416 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwUtl32.dll
[2010.03.16 16:07:43 | 000,186,880 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwCConv.ax
[2010.03.16 16:07:43 | 000,090,190 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\Bt848WST.DLL
[2010.03.16 16:07:43 | 000,069,632 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwPP2PP.ocx
[2010.03.16 16:07:43 | 000,065,536 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwDlg.ocx
[2010.03.16 16:07:43 | 000,061,440 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwPrxP2.ax
[2010.03.16 16:07:43 | 000,000,000 | ---D | C] -- C:\MyVideos
[2010.03.16 16:07:42 | 000,639,049 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwtvwnd.dll
[2010.03.16 16:07:42 | 000,229,432 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwpnp32.dll
[2010.03.16 16:07:42 | 000,213,050 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\Hcwchan.dll
[2010.03.16 16:07:42 | 000,192,571 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwav.dll
[2010.03.16 16:07:42 | 000,139,329 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwaud32.dll
[2010.03.16 16:07:42 | 000,106,559 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwTVDlg.dll
[2010.03.16 16:07:42 | 000,094,264 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwi2c32.dll
[2010.03.16 16:07:42 | 000,081,920 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwSplit.ax
[2010.03.16 16:07:42 | 000,081,920 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwNull.ax
[2010.03.16 16:07:42 | 000,073,728 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwSnap.ax
[2010.03.16 16:07:42 | 000,073,728 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwFRead.ax
[2010.03.16 16:07:42 | 000,061,440 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\Hcwtuner.dll
[2010.03.16 16:07:42 | 000,057,344 | ---- | C] (Hauppauge Computer Works, Inc.) -- C:\WINDOWS\System32\hcwFWrit.ax
[2010.03.16 16:07:42 | 000,011,264 | ---- | C] (Hauppauge Computer Works) -- C:\WINDOWS\System32\hcwhook.dll
[2010.03.16 16:07:41 | 000,393,216 | ---- | C] (Snowbound Software Corporation (www.Snowbnd.com)) -- C:\WINDOWS\System32\hcwsnbd9.dll
[2010.03.16 16:07:41 | 000,000,000 | ---D | C] -- C:\Programme\WinTV
[2010.03.16 16:03:41 | 000,000,000 | R-SD | C] -- C:\WINDOWS\Fonts
[2010.03.16 16:03:41 | 000,000,000 | RHSD | C] -- C:\WINDOWS\System32\dllcache
[2010.03.16 16:03:41 | 000,000,000 | R--D | C] -- C:\WINDOWS\Web
[2010.03.16 16:03:41 | 000,000,000 | -H-D | C] -- C:\WINDOWS\inf
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\WinSxS
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\wins
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\wbem
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\usmt
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\twain_32
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\system32
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\system
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\spool
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ShellExt
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Setup
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\security
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Resources
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\repair
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ras
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Provisioning
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\PeerNet
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\pchealth
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\oobe
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\npp
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\mui
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\mui
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\msapps
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\msagent
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Media
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\java
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\inetsrv
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\IME
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\ime
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\icsxml
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ias
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Help
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\export
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\etc
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\ehome
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Driver Cache
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\disdn
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\dhcp
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Debug
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Cursors
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Connection Wizard
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\config
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Config
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\AppPatch
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\addins
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1033
[2010.03.16 16:03:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\1031
[2010.03.16 15:57:43 | 000,120,832 | ---- | C] (Brother Industries, Ltd.) -- C:\WINDOWS\System32\BrWia04b.dll
[2010.03.16 15:57:43 | 000,037,888 | ---- | C] (Brother Industries, Ltd.) -- C:\WINDOWS\System32\BrUSi04b.dll
[2010.03.16 15:57:43 | 000,015,295 | ---- | C] (Brother Industries Ltd.) -- C:\WINDOWS\System32\drivers\BrScnUsb.sys
[2010.03.16 15:57:42 | 000,054,272 | ---- | C] (Brother Industries,Ltd.) -- C:\WINDOWS\System32\brinsstr.dll
[2010.03.16 15:57:39 | 000,073,728 | ---- | C] (Brother Industries Ltd) -- C:\WINDOWS\System32\brrbtool.exe
[2010.03.16 15:57:39 | 000,024,223 | ---- | C] (brother Industries Ltd) -- C:\WINDOWS\System32\brlm03a.dll
[2010.03.16 15:57:37 | 000,188,416 | ---- | C] (brother) -- C:\WINDOWS\System32\PDRVINST.DLL
[2010.03.16 15:57:37 | 000,081,920 | ---- | C] (brother) -- C:\WINDOWS\System32\BrWebIns.dll
[2010.03.16 15:57:37 | 000,065,536 | ---- | C] (brother) -- C:\WINDOWS\System32\BRWEBUP.EXE
[2010.03.16 15:57:37 | 000,000,000 | ---D | C] -- C:\Programme\Common Files
[2010.03.16 15:57:37 | 000,000,000 | ---D | C] -- C:\Programme\Brother
[2010.03.16 15:57:35 | 000,000,000 | ---D | C] -- C:\Brother
[2010.03.16 15:57:34 | 000,147,456 | ---- | C] (Brother Industries,Ltd.) -- C:\WINDOWS\brunin03.dll
[2010.03.16 15:56:26 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
[2010.03.16 15:56:25 | 000,000,000 | ---D | C] -- C:\Programme\ScanSoft
[2010.03.16 15:56:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2010.03.16 15:55:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother
[2010.03.16 15:53:12 | 000,392,960 | R--- | C] (Sensaura) -- C:\WINDOWS\System32\drivers\senfilt.sys
[2010.03.16 15:53:06 | 000,053,248 | ---- | C] (Analog Devices Inc.) -- C:\WINDOWS\System32\wdmioctl.dll
[2010.03.16 15:53:05 | 001,285,632 | ---- | C] (Analog Devices) -- C:\WINDOWS\System32\SMMedia.dll
[2010.03.16 15:53:03 | 000,049,152 | ---- | C] (Analog Devices Inc.) -- C:\WINDOWS\System32\DSndUp.exe
[2010.03.16 15:53:03 | 000,000,000 | ---D | C] -- C:\Programme\Analog Devices
[2010.03.16 15:53:02 | 000,045,056 | ---- | C] (adi) -- C:\WINDOWS\System32\CleanUp.exe
[2010.03.16 15:51:17 | 000,000,000 | -H-D | C] -- C:\Programme\InstallShield Installation Information
[2010.03.16 15:51:17 | 000,000,000 | ---D | C] -- C:\Programme\AMD
[2010.03.16 15:50:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ReinstallBackups
[2010.03.16 15:50:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\NV1324504.TMP
[2010.03.16 15:49:52 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\InstallShield
[2010.03.16 15:49:49 | 000,486,400 | R--- | C] (ASUS) -- C:\WINDOWS\System32\AsusSetup.exe
[2010.03.16 15:49:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\ASUSInstAll
[2010.03.16 15:44:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tror\Anwendungsdaten\Identities
[2010.03.16 15:44:52 | 000,000,000 | -H-D | C] -- C:\Programme\Uninstall Information
[2010.03.16 15:44:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Eigene Musik
[2010.03.16 15:44:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien
[2010.03.16 15:44:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Tror\Eigene Dateien\Eigene Bilder
[2010.03.16 15:44:46 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Tror\Anwendung

Geändert von Tror (17.05.2010 um 09:57 Uhr)

Alt 17.05.2010, 10:00   #12
Tror
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



jetzt kann ich hier nicht mal mehr antworten, weil er mich den Post mit den Logs nicht vollständig absenden lässt
Ich probiers nochmal, also sorry für Doppelpost teilweise gleich falls es denn klappt....wenn nicht, bleibt mir noch was anderes als neu aufsetzen übrig?

Alt 17.05.2010, 10:04   #13
Angel21
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Schaun mer mal erstmal in Ruhe über das ganze. Ich melde mich wenn die Logs vollständig sind später noch einmal.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 17.05.2010, 10:06   #14
Tror
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



leider lässt er mich die logs nicht vollständig posten egal ob ichs nur mit der OTL.txt oder der Extra.txt probier...jedesmal bricht er die Sendung ab...

Alt 17.05.2010, 10:08   #15
Angel21
 
wA6mruD6.exe öffnet sich dauernd im Hintergund - Standard

wA6mruD6.exe öffnet sich dauernd im Hintergund



Willst du die Logs hochladen, oder passiert das bei "Antworten" in deinen Thread hinein?
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Antwort

Themen zu wA6mruD6.exe öffnet sich dauernd im Hintergund
antivir, auf einmal, datei, deaktiviert, einfach, entfernt, firefox, hintergrund, iexplorer, komische, malwarebytes, nervig, neu, nichts, plötzlich, probleme, programm, scan, suche, system, taskmanager, täglich, virus, vordergrund, öffnen, öffnet



Ähnliche Themen: wA6mruD6.exe öffnet sich dauernd im Hintergund


  1. Windows- Befehlsprozessor öffnet sich dauernd am unteren Bildschirmrand und blinkt
    Plagegeister aller Art und deren Bekämpfung - 24.12.2014 (11)
  2. Windows 7, Google Chrome, neue Tabs (Werbung) öffnet sich dauernd beim Surfen
    Log-Analyse und Auswertung - 11.12.2014 (1)
  3. Windows 7, Google Chrome, neue Tabs (Werbung) öffnet sich dauernd beim Surfen
    Log-Analyse und Auswertung - 04.07.2014 (7)
  4. InternetExplorer öffnet dauernd Werbung
    Log-Analyse und Auswertung - 04.02.2011 (3)
  5. Critical Error RAM memory usage .. HDD ... "Scanner" öffnet sich dauernd
    Plagegeister aller Art und deren Bekämpfung - 06.01.2011 (13)
  6. Es öffnet sich dauernd Werbung!
    Log-Analyse und Auswertung - 24.08.2010 (1)
  7. Der Internet Explorer öffnet sich dauernd von selbst.
    Log-Analyse und Auswertung - 29.12.2009 (9)
  8. Windows Internet Explorer öffnet sich dauernd
    Plagegeister aller Art und deren Bekämpfung - 12.11.2009 (7)
  9. IE öffnet sich dauernd mir irgeneiner virenverseuchter Werbung
    Plagegeister aller Art und deren Bekämpfung - 09.11.2009 (1)
  10. Autostart Fenster öffnet sich dauernd
    Alles rund um Windows - 19.08.2009 (17)
  11. IE öffnet dauernd Werbung allein
    Log-Analyse und Auswertung - 13.08.2009 (4)
  12. IE öffnet dauernd Werbung
    Log-Analyse und Auswertung - 02.04.2009 (3)
  13. CiD Fenster öffnet sich dauernd
    Mülltonne - 19.06.2008 (0)
  14. Internet Explorer öffnet sich dauernd automatisch mit ungewollten Inhalten
    Plagegeister aller Art und deren Bekämpfung - 23.07.2007 (15)
  15. IE öffnet sich dauernd automatisch
    Log-Analyse und Auswertung - 03.06.2007 (1)
  16. IE öffnet dauernd werbung und lässt sich nicht beenden
    Log-Analyse und Auswertung - 11.08.2006 (1)
  17. IE Exploit öffnet dauernd fenster
    Log-Analyse und Auswertung - 03.07.2005 (2)

Zum Thema wA6mruD6.exe öffnet sich dauernd im Hintergund - Ich hab schon wochenlang irgendwelche Probleme mit meinem PC...mal findet Antivir plötzlich hundertmal denselben Virus in sich dauernd wieder neu erstellenden tmp-files, dann ist auf einmal die Sounderkennung deaktiviert und - wA6mruD6.exe öffnet sich dauernd im Hintergund...
Archiv
Du betrachtest: wA6mruD6.exe öffnet sich dauernd im Hintergund auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.