Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.09.2010, 21:27   #1
premier
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Hallo!

Hab mir leider etwas eingefangen.

Vor ca. einer Woche hat AntiVir mir angezeigt, dass sich zwei Java Viren auf meinem Rechner befinden. Kurz darauf ist dann der Windows Defender angesprungen und hat die Viren dann (scheinbar) gelöscht.
Hier der entsprechende Log von Antivir:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 13. September 2010  23:35

Es wird nach 2833783 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : ****
Computername   : MEGATRON

Versionsinformationen:
BUILD.DAT      : 9.0.0.422           Bytes  09.03.2010 10:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 12:16:20
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 20:40:23
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 20:40:43
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 17:15:46
VBASE005.VDF   : 7.10.6.82   2494464 Bytes  15.04.2010 21:19:05
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 15:30:49
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 16:47:47
VBASE008.VDF   : 7.10.11.133   3454464 Bytes  13.09.2010 15:09:21
VBASE009.VDF   : 7.10.11.134      2048 Bytes  13.09.2010 15:09:21
VBASE010.VDF   : 7.10.11.135      2048 Bytes  13.09.2010 15:09:21
VBASE011.VDF   : 7.10.11.136      2048 Bytes  13.09.2010 15:09:21
VBASE012.VDF   : 7.10.11.137      2048 Bytes  13.09.2010 15:09:21
VBASE013.VDF   : 7.10.11.138      2048 Bytes  13.09.2010 15:09:21
VBASE014.VDF   : 7.10.11.139      2048 Bytes  13.09.2010 15:09:22
VBASE015.VDF   : 7.10.11.140      2048 Bytes  13.09.2010 15:09:22
VBASE016.VDF   : 7.10.11.141      2048 Bytes  13.09.2010 15:09:22
VBASE017.VDF   : 7.10.11.142      2048 Bytes  13.09.2010 15:09:22
VBASE018.VDF   : 7.10.11.143      2048 Bytes  13.09.2010 15:09:23
VBASE019.VDF   : 7.10.11.144      2048 Bytes  13.09.2010 15:09:23
VBASE020.VDF   : 7.10.11.145      2048 Bytes  13.09.2010 15:09:23
VBASE021.VDF   : 7.10.11.146      2048 Bytes  13.09.2010 15:09:24
VBASE022.VDF   : 7.10.11.147      2048 Bytes  13.09.2010 15:09:24
VBASE023.VDF   : 7.10.11.148      2048 Bytes  13.09.2010 15:09:25
VBASE024.VDF   : 7.10.11.149      2048 Bytes  13.09.2010 15:09:25
VBASE025.VDF   : 7.10.11.150      2048 Bytes  13.09.2010 15:09:25
VBASE026.VDF   : 7.10.11.151      2048 Bytes  13.09.2010 15:09:26
VBASE027.VDF   : 7.10.11.152      2048 Bytes  13.09.2010 15:09:27
VBASE028.VDF   : 7.10.11.153      2048 Bytes  13.09.2010 15:09:27
VBASE029.VDF   : 7.10.11.154      2048 Bytes  13.09.2010 15:09:27
VBASE030.VDF   : 7.10.11.155      2048 Bytes  13.09.2010 15:09:27
VBASE031.VDF   : 7.10.11.156      2048 Bytes  13.09.2010 15:09:27
Engineversion  : 8.2.4.50 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  30.07.2010 15:46:53
AESCRIPT.DLL   : 8.1.3.44    1364346 Bytes  26.08.2010 21:01:50
AESCN.DLL      : 8.1.6.1      127347 Bytes  13.05.2010 16:19:25
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.04.2010 16:40:30
AERDL.DLL      : 8.1.8.2      614772 Bytes  21.07.2010 16:41:52
AEPACK.DLL     : 8.2.3.5      471412 Bytes  07.08.2010 12:26:46
AEOFFICE.DLL   : 8.1.1.8      201081 Bytes  21.07.2010 16:41:42
AEHEUR.DLL     : 8.1.2.21    2883958 Bytes  04.09.2010 16:38:54
AEHELP.DLL     : 8.1.13.3     242038 Bytes  26.08.2010 21:01:49
AEGEN.DLL      : 8.1.3.20     397684 Bytes  26.08.2010 21:01:49
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.04.2010 16:40:29
AECORE.DLL     : 8.1.16.2     192887 Bytes  21.07.2010 16:40:08
AEBB.DLL       : 8.1.1.0       53618 Bytes  23.04.2010 16:40:28
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.7      159784 Bytes  17.02.2010 20:18:39
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO, 
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Montag, 13. September 2010  23:35

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NlaSvc\Parameters\internet
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NlaSvc\Parameters\servicedll
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NlaSvc\Parameters\servicedllunloadonstop
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '31896' Objekte überprüft, '3' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '0' Modul(e) wurden durchsucht
Es wurden '15' Prozesse mit '15' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '45' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\Michael\AppData\Local\Temp\jar_cache6511923240833289118.tmp
  [0] Archivtyp: ZIP
    --> JavaUpdateManager.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.AJ.4
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4d009b7d.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Michael\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\51377d4a-105306f1
  [0] Archivtyp: ZIP
    --> JavaUpdateManager.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.AJ.4
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4cc19b54.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Dienstag, 14. September 2010  00:07
Benötigte Zeit: 32:04 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  17756 Verzeichnisse wurden überprüft
 250047 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      2 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 250043 Dateien ohne Befall
   1787 Archive wurden durchsucht
      2 Warnungen
      4 Hinweise
  31896 Objekte wurden beim Rootkitscan durchsucht
      3 Versteckte Objekte wurden gefunden
         

Danach war dann scheinbar alles wieder ok. Vor einigen Tagen hat Antivir jedoch wieder angezeigt, dass "die Datei wininit.exe der Trojaner TR/spy.96256.32" ist. Später dann auch TR/dldr.Fake.MSE.4 und Java Virus JAVA/C-2009-3867.EH . Hier die Logfiles von Antivir:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 17. September 2010  15:59

Es wird nach 2851395 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MEGATRON

Versionsinformationen:
BUILD.DAT      : 9.0.0.422     21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 12:16:20
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 20:40:23
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 20:40:43
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 17:15:46
VBASE005.VDF   : 7.10.6.82   2494464 Bytes  15.04.2010 21:19:05
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 15:30:49
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 16:47:47
VBASE008.VDF   : 7.10.11.133   3454464 Bytes  13.09.2010 15:09:21
VBASE009.VDF   : 7.10.11.134      2048 Bytes  13.09.2010 15:09:21
VBASE010.VDF   : 7.10.11.135      2048 Bytes  13.09.2010 15:09:21
VBASE011.VDF   : 7.10.11.136      2048 Bytes  13.09.2010 15:09:21
VBASE012.VDF   : 7.10.11.137      2048 Bytes  13.09.2010 15:09:21
VBASE013.VDF   : 7.10.11.165    172032 Bytes  15.09.2010 15:26:13
VBASE014.VDF   : 7.10.11.166      2048 Bytes  15.09.2010 15:26:13
VBASE015.VDF   : 7.10.11.167      2048 Bytes  15.09.2010 15:26:13
VBASE016.VDF   : 7.10.11.168      2048 Bytes  15.09.2010 15:26:13
VBASE017.VDF   : 7.10.11.169      2048 Bytes  15.09.2010 15:26:13
VBASE018.VDF   : 7.10.11.170      2048 Bytes  15.09.2010 15:26:13
VBASE019.VDF   : 7.10.11.171      2048 Bytes  15.09.2010 15:26:13
VBASE020.VDF   : 7.10.11.172      2048 Bytes  15.09.2010 15:26:13
VBASE021.VDF   : 7.10.11.173      2048 Bytes  15.09.2010 15:26:13
VBASE022.VDF   : 7.10.11.174      2048 Bytes  15.09.2010 15:26:13
VBASE023.VDF   : 7.10.11.175      2048 Bytes  15.09.2010 15:26:13
VBASE024.VDF   : 7.10.11.176      2048 Bytes  15.09.2010 15:26:13
VBASE025.VDF   : 7.10.11.177      2048 Bytes  15.09.2010 15:26:13
VBASE026.VDF   : 7.10.11.178      2048 Bytes  15.09.2010 15:26:13
VBASE027.VDF   : 7.10.11.179      2048 Bytes  15.09.2010 15:26:13
VBASE028.VDF   : 7.10.11.180      2048 Bytes  15.09.2010 15:26:13
VBASE029.VDF   : 7.10.11.181      2048 Bytes  15.09.2010 15:26:13
VBASE030.VDF   : 7.10.11.182      2048 Bytes  15.09.2010 15:26:13
VBASE031.VDF   : 7.10.11.200    114176 Bytes  17.09.2010 13:58:02
Engineversion  : 8.2.4.52 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  30.07.2010 15:46:53
AESCRIPT.DLL   : 8.1.3.44    1364346 Bytes  26.08.2010 21:01:50
AESCN.DLL      : 8.1.6.1      127347 Bytes  13.05.2010 16:19:25
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.04.2010 16:40:30
AERDL.DLL      : 8.1.8.2      614772 Bytes  21.07.2010 16:41:52
AEPACK.DLL     : 8.2.3.5      471412 Bytes  07.08.2010 12:26:46
AEOFFICE.DLL   : 8.1.1.8      201081 Bytes  21.07.2010 16:41:42
AEHEUR.DLL     : 8.1.2.21    2883958 Bytes  04.09.2010 16:38:54
AEHELP.DLL     : 8.1.13.3     242038 Bytes  26.08.2010 21:01:49
AEGEN.DLL      : 8.1.3.21     401780 Bytes  16.09.2010 15:26:14
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.04.2010 16:40:29
AECORE.DLL     : 8.1.16.2     192887 Bytes  21.07.2010 16:40:08
AEBB.DLL       : 8.1.1.0       53618 Bytes  23.04.2010 16:40:28
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.7      159784 Bytes  17.02.2010 20:18:39
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Freitag, 17. September 2010  15:59

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '31564' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '58' Prozesse mit '58' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '42' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\Michael\AppData\Local\Temp\mkcxhunr.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Fake.MSE.4
C:\Users\Michael\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\1f62c23a-3f12f7d7
  [0] Archivtyp: ZIP
    --> vmain.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/C-2009-3867.EH
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Users\Michael\AppData\Local\Temp\mkcxhunr.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Fake.MSE.4
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf67ff6.qua' verschoben!
C:\Users\Michael\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\1f62c23a-3f12f7d7
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc97ff1.qua' verschoben!


Ende des Suchlaufs: Freitag, 17. September 2010  16:47
Benötigte Zeit: 36:25 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  18149 Verzeichnisse wurden überprüft
 271931 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 271927 Dateien ohne Befall
   2008 Archive wurden durchsucht
      2 Warnungen
      4 Hinweise
  31564 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
Die Meldung war alle 10 Sekunden aufgepoppt. Nachdem ich dann AntiVir manuell upgedated habe, kam die Meldung auf einmal nicht mehr. Leichtsinnigerweise habe ich das ganze daher für einen Fehlalarm gehalten.

Seitdem ist es allerdings schon 3 Mal passiert, dass eine Browser Meldung aufgepoppt ist, die behauptete auf meinem System wurde Malware gefunden und Windows Defender würde diese nun entfernen. (Anhang 1.jpg)

Daraufhin hat sich ein Browserfenster mit einem angeblich ablaufenden Windows Defender Virenbeseitigungsvorgang geöffnet, welches ich dann immer sofort wieder geschlossen habe. (2.jpg) Das ganze ist offensichtlich eher ein Dateidowload.
Außerdem habe ich heute festgestellt, dass ich nicht mehr auf google suchen kann. Wenn ich auf eine Suchergebnis klicke, lande ich immer auf irgendwelchen seltsamen Seiten (w**.netwere.com, usw.).

Das ganze scheint immer von der Seite: h**p://kyqygyv.co.cc auszugehen. Ich weiß nciht ob das evtl normal ist, aber in den Antivir logfiles steht auch ich hätte Windows Vista, obwohl ich jedoch Windows 7 nutze.

Hier die Logfiles von einem aktuellen OTL scan:

Code:
ATTFilter
OTL logfile created on: 19.09.2010 19:25:13 - Run 1
OTL by OldTimer - Version 3.2.14.0     Folder = C:\Users\Michael\Desktop
 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 54,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 88,31 Gb Total Space | 26,83 Gb Free Space | 30,38% Space Free | Partition Type: NTFS
Drive D: | 88,00 Gb Total Space | 80,67 Gb Free Space | 91,68% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MEGATRON
Current User Name: *****
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\****\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe (ABBYY)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
PRC - C:\Programme\Samsung\EBM\EasyBatteryMgr3.exe (SAMSUNG Electronics co., LTD.)
PRC - C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe (SAMSUNG Electronics)
PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe (Broadcom Corporation.)
PRC - C:\Windows\System32\agrsmsvc.exe (Agere Systems)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\****\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\System32\sspicli.dll (Microsoft Corporation)
MOD - C:\Windows\System32\sechost.dll (Microsoft Corporation)
MOD - C:\Windows\System32\samcli.dll (Microsoft Corporation)
MOD - C:\Windows\System32\profapi.dll (Microsoft Corporation)
MOD - C:\Windows\System32\netutils.dll (Microsoft Corporation)
MOD - C:\Windows\System32\KernelBase.dll (Microsoft Corporation)
MOD - C:\Windows\System32\dwmapi.dll (Microsoft Corporation)
MOD - C:\Windows\System32\devobj.dll (Microsoft Corporation)
MOD - C:\Windows\System32\cryptbase.dll (Microsoft Corporation)
MOD - C:\Windows\System32\cfgmgr32.dll (Microsoft Corporation)
MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (Akamai) -- c:\Programme\Common Files\Akamai\rswin_3746.dll ()
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (getPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.)
SRV - (ABBYY.Licensing.FineReader.Professional.10.0) -- C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe (ABBYY)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (WwanSvc) -- C:\Windows\System32\wwansvc.dll (Microsoft Corporation)
SRV - (WbioSrvc) -- C:\Windows\System32\wbiosrvc.dll (Microsoft Corporation)
SRV - (Power) -- C:\Windows\System32\umpo.dll (Microsoft Corporation)
SRV - (Themes) -- C:\Windows\System32\themeservice.dll (Microsoft Corporation)
SRV - (sppuinotify) -- C:\Windows\System32\sppuinotify.dll (Microsoft Corporation)
SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation)
SRV - (RpcEptMapper) -- C:\Windows\System32\RpcEpMap.dll (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (PNRPsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation)
SRV - (p2pimsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation)
SRV - (HomeGroupProvider) -- C:\Windows\System32\provsvc.dll (Microsoft Corporation)
SRV - (PNRPAutoReg) -- C:\Windows\System32\pnrpauto.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (HomeGroupListener) -- C:\Windows\System32\ListSvc.dll (Microsoft Corporation)
SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation)
SRV - (Dhcp) -- C:\Windows\System32\dhcpcore.dll (Microsoft Corporation)
SRV - (defragsvc) -- C:\Windows\System32\defragsvc.dll (Microsoft Corporation)
SRV - (BDESVC) -- C:\Windows\System32\bdesvc.dll (Microsoft Corporation)
SRV - (AxInstSV) ActiveX-Installer (AxInstSV) -- C:\Windows\System32\AxInstSv.dll (Microsoft Corporation)
SRV - (AppIDSvc) -- C:\Windows\System32\appidsvc.dll (Microsoft Corporation)
SRV - (sppsvc) -- C:\Windows\System32\sppsvc.exe (Microsoft Corporation)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (CVPND) -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (AgereModemAudio) -- C:\Windows\System32\agrsmsvc.exe (Agere Systems)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (ALSysIO) -- C:\Users\Michael\AppData\Local\Temp\ALSysIO.sys File not found
DRV - (KSecPkg) -- C:\Windows\System32\Drivers\ksecpkg.sys (Microsoft Corporation)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (cmdide) -- C:\Windows\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (adpahci) -- C:\Windows\system32\DRIVERS\adpahci.sys (Adaptec, Inc.)
DRV - (adp94xx) -- C:\Windows\system32\DRIVERS\adp94xx.sys (Adaptec, Inc.)
DRV - (amdsbs) -- C:\Windows\system32\DRIVERS\amdsbs.sys (AMD Technologies Inc.)
DRV - (adpu320) -- C:\Windows\system32\DRIVERS\adpu320.sys (Adaptec, Inc.)
DRV - (arcsas) -- C:\Windows\system32\DRIVERS\arcsas.sys (Adaptec, Inc.)
DRV - (amdsata) -- C:\Windows\system32\DRIVERS\amdsata.sys (Advanced Micro Devices)
DRV - (arc) -- C:\Windows\system32\DRIVERS\arc.sys (Adaptec, Inc.)
DRV - (amdxata) -- C:\Windows\system32\DRIVERS\amdxata.sys (Advanced Micro Devices)
DRV - (aliide) -- C:\Windows\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
DRV - (nvstor) -- C:\Windows\system32\DRIVERS\nvstor.sys (NVIDIA Corporation)
DRV - (nvraid) -- C:\Windows\system32\DRIVERS\nvraid.sys (NVIDIA Corporation)
DRV - (nfrd960) -- C:\Windows\system32\DRIVERS\nfrd960.sys (IBM Corporation)
DRV - (LSI_SAS) -- C:\Windows\system32\DRIVERS\lsi_sas.sys (LSI Corporation)
DRV - (iaStorV) -- C:\Windows\system32\DRIVERS\iaStorV.sys (Intel Corporation)
DRV - (MegaSR) -- C:\Windows\system32\DRIVERS\MegaSR.sys (LSI Corporation, Inc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\DRIVERS\lsi_scsi.sys (LSI Corporation)
DRV - (LSI_FC) -- C:\Windows\system32\DRIVERS\lsi_fc.sys (LSI Corporation)
DRV - (LSI_SAS2) -- C:\Windows\system32\DRIVERS\lsi_sas2.sys (LSI Corporation)
DRV - (iirsp) -- C:\Windows\system32\DRIVERS\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (megasas) -- C:\Windows\system32\DRIVERS\megasas.sys (LSI Corporation)
DRV - (hwpolicy) -- C:\Windows\System32\drivers\hwpolicy.sys (Microsoft Corporation)
DRV - (elxstor) -- C:\Windows\system32\DRIVERS\elxstor.sys (Emulex)
DRV - (aic78xx) -- C:\Windows\system32\DRIVERS\djsvs.sys (Adaptec, Inc.)
DRV - (HpSAMD) -- C:\Windows\system32\DRIVERS\HpSAMD.sys (Hewlett-Packard Company)
DRV - (FsDepends) -- C:\Windows\System32\drivers\fsdepends.sys (Microsoft Corporation)
DRV - (vsmraid) -- C:\Windows\system32\DRIVERS\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (vmbus) -- C:\Windows\system32\DRIVERS\vmbus.sys (Microsoft Corporation)
DRV - (vhdmp) -- C:\Windows\system32\DRIVERS\vhdmp.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\system32\DRIVERS\vmstorfl.sys (Microsoft Corporation)
DRV - (vdrvroot) -- C:\Windows\system32\DRIVERS\vdrvroot.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\system32\DRIVERS\storvsc.sys (Microsoft Corporation)
DRV - (WIMMount) -- C:\Windows\System32\drivers\wimmount.sys (Microsoft Corporation)
DRV - (viaide) -- C:\Windows\system32\DRIVERS\viaide.sys (VIA Technologies, Inc.)
DRV - (ql2300) -- C:\Windows\system32\DRIVERS\ql2300.sys (QLogic Corporation)
DRV - (rdyboost) -- C:\Windows\System32\drivers\rdyboost.sys (Microsoft Corporation)
DRV - (ql40xx) -- C:\Windows\system32\DRIVERS\ql40xx.sys (QLogic Corporation)
DRV - (SiSRaid4) -- C:\Windows\system32\DRIVERS\sisraid4.sys (Silicon Integrated Systems)
DRV - (pcw) -- C:\Windows\System32\drivers\pcw.sys (Microsoft Corporation)
DRV - (SiSRaid2) -- C:\Windows\system32\DRIVERS\SiSRaid2.sys (Silicon Integrated Systems Corp.)
DRV - (stexstor) -- C:\Windows\system32\DRIVERS\stexstor.sys (Promise Technology)
DRV - (CNG) -- C:\Windows\System32\Drivers\cng.sys (Microsoft Corporation)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\System32\Drivers\Brserid.sys (Brother Industries Ltd.)
DRV - (rdpbus) -- C:\Windows\System32\drivers\rdpbus.sys (Microsoft Corporation)
DRV - (RDPREFMP) -- C:\Windows\System32\drivers\RDPREFMP.sys (Microsoft Corporation)
DRV - (RasAgileVpn) WAN Miniport (IKEv2) -- C:\Windows\System32\drivers\agilevpn.sys (Microsoft Corporation)
DRV - (WfpLwf) -- C:\Windows\System32\drivers\wfplwf.sys (Microsoft Corporation)
DRV - (NdisCap) -- C:\Windows\System32\drivers\ndiscap.sys (Microsoft Corporation)
DRV - (vwifibus) -- C:\Windows\System32\drivers\vwifibus.sys (Microsoft Corporation)
DRV - (1394ohci) -- C:\Windows\system32\DRIVERS\1394ohci.sys (Microsoft Corporation)
DRV - (UmPass) -- C:\Windows\system32\DRIVERS\umpass.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (mshidkmdf) -- C:\Windows\System32\drivers\mshidkmdf.sys (Microsoft Corporation)
DRV - (MTConfig) -- C:\Windows\system32\DRIVERS\MTConfig.sys (Microsoft Corporation)
DRV - (CompositeBus) -- C:\Windows\System32\drivers\CompositeBus.sys (Microsoft Corporation)
DRV - (AppID) -- C:\Windows\system32\drivers\appid.sys (Microsoft Corporation)
DRV - (scfilter) -- C:\Windows\System32\drivers\scfilter.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\system32\DRIVERS\vms3cap.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\system32\DRIVERS\VMBusHID.sys (Microsoft Corporation)
DRV - (discache) -- C:\Windows\System32\drivers\discache.sys (Microsoft Corporation)
DRV - (HidBatt) -- C:\Windows\system32\DRIVERS\HidBatt.sys (Microsoft Corporation)
DRV - (AcpiPmi) -- C:\Windows\system32\DRIVERS\acpipmi.sys (Microsoft Corporation)
DRV - (AmdPPM) -- C:\Windows\system32\DRIVERS\amdppm.sys (Microsoft Corporation)
DRV - (hcw85cir) -- C:\Windows\system32\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV - (BrUsbMdm) -- C:\Windows\System32\Drivers\BrUsbMdm.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\System32\Drivers\BrUsbSer.sys (Brother Industries Ltd.)
DRV - (BrSerWdm) -- C:\Windows\System32\Drivers\BrSerWdm.sys (Brother Industries Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\DRIVERS\BrFiltLo.sys (Brother Industries, Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\DRIVERS\BrFiltUp.sys (Brother Industries, Ltd.)
DRV - (AgereSoftModem) -- C:\Windows\System32\drivers\AGRSM.sys (LSI Corp)
DRV - (yukonw7) -- C:\Windows\System32\drivers\yk62x86.sys (Marvell)
DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation)
DRV - (b57nd60x) -- C:\Windows\System32\drivers\b57nd60x.sys (Broadcom Corporation)
DRV - (ebdrv) -- C:\Windows\system32\DRIVERS\evbdx.sys (Broadcom Corporation)
DRV - (b06bdrv) -- C:\Windows\system32\DRIVERS\bxvbdx.sys (Broadcom Corporation)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (KMWDFILTERx86) -- C:\Windows\System32\drivers\KMWDFILTER.sys (Windows (R) Codename Longhorn DDK provider)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (NETw4v32) Intel(R) -- C:\Windows\System32\drivers\NETw4v32.sys (Intel Corporation)
DRV - (SynTP) -- C:\Windows\System32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (rimmptsk) -- C:\Windows\System32\drivers\rimmptsk.sys (REDC)
DRV - (rismxdp) -- C:\Windows\System32\drivers\rixdptsk.sys (REDC)
DRV - (rimsptsk) -- C:\Windows\System32\drivers\rimsptsk.sys (REDC)
DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (btwaudio) -- C:\Windows\System32\drivers\btwaudio.sys (Broadcom Corporation.)
DRV - (btwrchid) -- C:\Windows\System32\drivers\btwrchid.sys (Broadcom Corporation.)
DRV - (btwavdt) -- C:\Windows\System32\drivers\btwavdt.sys (Broadcom Corporation.)
DRV - (yukonwlh) -- C:\Windows\System32\drivers\yk60x86.sys (Marvell)
DRV - (KMDFMEMIO) -- C:\Windows\System32\drivers\KMDFMEMIO.sys (SAMSUNG ELECTRONICS CO., LTD.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 7F 57 96 7B 41 54 CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.spiegel.de"
FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2
FF - prefs.js..extensions.enabledItems: 5
FF - prefs.js..extensions.enabledItems: 0
FF - prefs.js..extensions.enabledItems: 1
FF - prefs.js..extensions.enabledItems: {8AA36F4F-6DC7-4c06-77AF-5035170634FE}:2010.01.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.09.17 15:56:03 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.09.17 15:56:03 | 000,000,000 | ---D | M]
 
[2009.12.04 14:01:17 | 000,000,000 | ---D | M] -- C:\Users\Michael\AppData\Roaming\mozilla\Extensions
[2010.09.19 17:55:27 | 000,000,000 | ---D | M] -- C:\Users\Michael\AppData\Roaming\mozilla\Firefox\Profiles\gyu6ap5n.default\extensions
[2009.12.04 14:06:38 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\Michael\AppData\Roaming\mozilla\Firefox\Profiles\gyu6ap5n.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2009.12.20 21:57:48 | 000,000,000 | ---D | M] -- C:\Users\Michael\AppData\Roaming\mozilla\Firefox\Profiles\gyu6ap5n.default\extensions\firefox@tvunetworks.com
[2009.12.04 23:45:12 | 000,001,042 | ---- | M] () -- C:\Users\Michael\AppData\Roaming\Mozilla\FireFox\Profiles\gyu6ap5n.default\searchplugins\wikipedia-eng.xml
[2010.09.13 23:22:42 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.02.25 15:13:52 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}
[2010.09.13 23:22:42 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.07.26 21:16:36 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.07.26 21:16:36 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.07.26 21:16:36 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.07.26 21:16:36 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.07.26 21:16:36 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Bonus.SSR.FR10] C:\Program Files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe (ABBYY.)
O4 - HKLM..\Run: [ Malwarebytes Anti-Malware  (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.DLL (NVIDIA Corporation)
O4 - Startup: C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: &Citavi Picker... - C:\Program Files\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html ()
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} https://juniper.net/dana-cached/sc/JuniperSetupClient.cab (JuniperSetupClientControl Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 85.216.127.130 192.168.0.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\Shell - "" = AutoRun
O33 - MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\Shell\AutoRun\command - "" = F:\WD SmartWare.exe -- File not found
O33 - MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\Shell - "" = AutoRun
O33 - MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.09.19 18:47:06 | 000,576,000 | ---- | C] (OldTimer Tools) -- C:\Users\Michael\Desktop\OTL.exe
[2010.09.13 23:23:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Sun
[2010.09.13 23:22:59 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Java
[2010.09.13 23:22:40 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2010.09.13 23:22:40 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.09.13 23:22:40 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.09.13 23:22:40 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2010.09.13 22:18:56 | 000,000,000 | -H-D | C] -- C:\Users\Public\Documents\Server
[2010.09.13 17:25:33 | 000,000,000 | ---D | C] -- C:\Users\Michael\Desktop\frEeze-Teleportation
[2010.09.03 17:51:01 | 000,000,000 | ---D | C] -- C:\Users\Michael\Desktop\mazamovie
[2010.09.03 17:03:39 | 000,000,000 | ---D | C] -- C:\Users\Michael\AppData\Roaming\ABBYY
[2010.09.03 16:30:04 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\ABBYY
[2010.09.03 16:28:43 | 000,000,000 | ---D | C] -- C:\Users\Michael\AppData\Local\ABBYY
[2010.09.03 16:28:42 | 000,000,000 | ---D | C] -- C:\ProgramData\ABBYY
[2010.09.03 16:20:08 | 000,000,000 | ---D | C] -- C:\Programme\Common
[2010.09.03 16:18:53 | 000,245,408 | ---- | C] (Microsoft Corporation) -- C:\Programme\unicows.dll
[2010.09.03 16:18:53 | 000,000,000 | ---D | C] -- C:\Programme\ABBYY FineReader 10
[2010.09.03 16:18:52 | 001,822,520 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsiw.exe
[2010.09.03 16:18:52 | 000,547,080 | ---- | C] (ABBYY.) -- C:\Programme\Setup.exe
[2010.09.03 16:18:52 | 000,000,000 | ---D | C] -- C:\Programme\ReadMe
[2010.09.03 16:18:52 | 000,000,000 | ---D | C] -- C:\Programme\Licences
[2010.09.03 16:18:51 | 000,000,000 | ---D | C] -- C:\Programme\Guide
[1 C:\Users\Michael\Desktop\*.tmp files -> C:\Users\Michael\Desktop\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.09.19 19:27:48 | 002,097,152 | -HS- | M] () -- C:\Users\Michael\NTUSER.DAT
[2010.09.19 19:25:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010.09.19 19:25:00 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2010.09.19 18:47:26 | 000,576,000 | ---- | M] (OldTimer Tools) -- C:\Users\Michael\Desktop\OTL.exe
[2010.09.19 17:51:03 | 000,013,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2010.09.19 17:51:03 | 000,013,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2010.09.19 17:47:47 | 001,486,084 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.09.19 17:47:47 | 000,648,704 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.09.19 17:47:47 | 000,611,332 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.09.19 17:47:47 | 000,128,930 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.09.19 17:47:47 | 000,105,512 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.09.19 17:43:45 | 000,276,359 | ---- | M] () -- C:\Users\Michael\AppData\Roaming\nvModes.001
[2010.09.19 17:43:19 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.09.19 17:43:15 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.09.19 17:43:10 | 1609,375,744 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.18 00:12:21 | 001,023,010 | -H-- | M] () -- C:\Users\Michael\AppData\Local\IconCache.db
[2010.09.17 21:04:43 | 000,051,712 | ---- | M] () -- C:\Users\Michael\Desktop\Bescheinigung Anlage 1.doc
[2010.09.17 15:51:35 | 000,410,152 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2010.09.16 23:04:26 | 000,276,359 | ---- | M] () -- C:\Users\Michael\AppData\Roaming\nvModes.dat
[2010.09.16 18:13:17 | 253,173,335 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010.09.16 14:47:37 | 000,138,608 | ---- | M] () -- C:\Windows\System32\drivers\PnkBstrK.sys
[2010.09.16 14:47:28 | 000,234,576 | ---- | M] () -- C:\Windows\System32\PnkBstrB.xtr
[2010.09.14 20:21:19 | 002,600,960 | ---- | M] () -- C:\Users\Michael\Desktop\LiteraturlisteDiplomarbeit.ctv
[2010.09.12 19:43:34 | 000,001,075 | ---- | M] () -- C:\Users\Michael\Desktop\StreamTorrent 1.0.lnk
[2010.09.10 11:26:51 | 000,011,206 | ---- | M] () -- C:\Users\Michael\Desktop\Sehr geehrte Frau Stange.docx
[2010.08.31 15:00:57 | 000,047,104 | ---- | M] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 3.doc
[2010.08.31 15:00:51 | 000,074,752 | ---- | M] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 2.doc
[2010.08.31 15:00:44 | 000,044,544 | ---- | M] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 1.doc
[2010.08.23 23:05:51 | 000,001,984 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[1 C:\Users\Michael\Desktop\*.tmp files -> C:\Users\Michael\Desktop\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.09.17 21:04:42 | 000,051,712 | ---- | C] () -- C:\Users\Michael\Desktop\Bescheinigung Anlage 1.doc
[2010.09.16 18:13:17 | 253,173,335 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2010.09.12 19:43:34 | 000,001,075 | ---- | C] () -- C:\Users\Michael\Desktop\StreamTorrent 1.0.lnk
[2010.09.10 11:26:50 | 000,011,206 | ---- | C] () -- C:\Users\Michael\Desktop\Sehr geehrte Frau Stange.docx
[2010.09.03 16:18:52 | 006,410,240 | ---- | C] () -- C:\Programme\ABBYY FineReader 10 Professional Edition.msi
[2010.09.03 16:18:52 | 000,238,080 | ---- | C] () -- C:\Programme\1049.mst
[2010.09.03 16:18:52 | 000,138,752 | ---- | C] () -- C:\Programme\1045.mst
[2010.09.03 16:18:52 | 000,130,560 | ---- | C] () -- C:\Programme\1031.mst
[2010.09.03 16:18:52 | 000,128,000 | ---- | C] () -- C:\Programme\1036.mst
[2010.09.03 16:18:52 | 000,125,952 | ---- | C] () -- C:\Programme\1043.mst
[2010.09.03 16:18:52 | 000,012,800 | ---- | C] () -- C:\Programme\1033.mst
[2010.09.03 16:18:52 | 000,000,200 | ---- | C] () -- C:\Programme\setup.ini
[2010.08.31 15:00:57 | 000,047,104 | ---- | C] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 3.doc
[2010.08.31 15:00:50 | 000,074,752 | ---- | C] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 2.doc
[2010.08.31 15:00:43 | 000,044,544 | ---- | C] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 1.doc
[2010.07.26 18:22:26 | 000,085,504 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2010.06.01 17:37:39 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2010.05.30 13:30:14 | 000,007,625 | ---- | C] () -- C:\Users\Michael\AppData\Local\Resmon.ResmonCfg
[2010.02.04 01:40:15 | 000,000,262 | ---- | C] () -- C:\Windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
[2009.12.07 15:22:52 | 000,139,152 | ---- | C] () -- C:\Users\Michael\AppData\Roaming\PnkBstrK.sys
[2009.12.07 15:22:52 | 000,138,608 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys
[2009.12.04 16:26:47 | 000,276,359 | ---- | C] () -- C:\Users\Michael\AppData\Roaming\nvModes.001
[2009.12.04 16:26:46 | 000,276,359 | ---- | C] () -- C:\Users\Michael\AppData\Roaming\nvModes.dat
[2009.12.04 16:17:30 | 000,000,135 | R--- | C] () -- C:\Windows\System32\lngEng.ini
[2009.12.04 16:17:30 | 000,000,117 | ---- | C] () -- C:\Windows\System32\lngKor.ini
[2009.12.04 16:15:39 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2009.12.04 15:15:52 | 000,000,830 | ---- | C] () -- C:\Windows\Rtcw.INI
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.01.13 12:29:00 | 000,197,408 | ---- | C] () -- C:\Windows\System32\vpnapi.dll
[2008.09.08 10:19:48 | 000,022,723 | ---- | C] () -- C:\Windows\System32\cl31cl3.dll
[2006.12.20 13:00:12 | 000,389,120 | ---- | C] () -- C:\Windows\System32\btwhidcs.dll
[2005.05.06 20:06:00 | 000,016,480 | ---- | C] () -- C:\Windows\System32\rixdicon.dll
[2001.11.14 13:56:00 | 001,802,240 | ---- | C] () -- C:\Windows\System32\lcppn21.dll
< End of report >
         
und:

Code:
ATTFilter
OTL Extras logfile created on: 19.09.2010 19:25:13 - Run 1
OTL by OldTimer - Version 3.2.14.0     Folder = C:\Users\Michael\Desktop
 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 54,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 88,31 Gb Total Space | 26,83 Gb Free Space | 30,38% Space Free | Partition Type: NTFS
Drive D: | 88,00 Gb Total Space | 80,67 Gb Free Space | 91,68% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: MEGATRON
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~1\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution II
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{24508D50-EB8F-4FE6-B69D-B4935D8745EF}_is1" = Warsow 0.5
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 21
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Easy Battery Manager
"{789289CA-F73A-4A16-A331-54D498CE069F}" = Ventrilo Client
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{804F1285-8CBF-408D-8CDC-D4D40003B2E4}" = PlayCamera
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}" = mDriver
"{A13E07E1-A423-44FB-9DEE-B24C75C1BAF2}" = WIDCOMM Bluetooth Software
"{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}" = iTunes
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{DA703982C580418795BF4001AA9D7061}" = DivX Plus Media Foundation Components
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E30D6E28-3570-47B1-BEFD-E36EB60D493E}" = Wie man's spricht Demoversion
"{F1000000-0001-0000-0000-074957833700}" = ABBYY FineReader 10 Professional Edition
"{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}" = Cisco Systems VPN Client 5.0.05.0290
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Advanced PDF Repair v2.0" = Advanced PDF Repair v2.0
"Agere Systems Soft Modem" = Agere Systems HDA Modem
"Akamai" = Akamai NetSession Interface
"Ant Renamer 2_is1" = Ant Renamer
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"Citavi" = Citavi 2.5
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"ENTERPRISE" = Microsoft Office Enterprise 2007
"ffdshow_is1" = ffdshow [rev 3291] [2010-02-26]
"Google Chrome" = Google Chrome
"HLSW_is1" = HLSW v1.3.2.1
"JDownloader" = JDownloader
"Juniper_Setup_Client Activex Control" = Juniper Networks Setup Client Activex Control
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"mIRC" = mIRC
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel(R) PROSet/Wireless Software
"PunkBusterSvc" = PunkBuster Services
"Q3E Minimizer_is1" = Q3E Minimizer v1.51
"Return to Castle Wolfenstein" = Return to Castle Wolfenstein
"Seismovision 3" = Seismovision 3 (remove only)
"SopCast" = SopCast 3.2.4
"StreamTorrent 1.0" = StreamTorrent 1.0
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"SystemRequirementsLab" = System Requirements Lab
"TVUPlayer" = TVUPlayer 2.5.0.1
"Veetle TV" = Veetle TV 0.9.16
"VLC media player" = VLC media player 1.0.3
"WinRAR archiver" = WinRAR
"Wolfenstein - Enemy Territory" = Wolfenstein - Enemy Territory
"YAWn!" = YAWn!.NET (remove only)
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Juniper_Setup_Client" = Juniper Networks Setup Client
"Neoteris_Host_Checker" = Juniper Networks Host Checker
"Octoshape Streaming Services" = Octoshape Streaming Services
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 13.09.2010 16:29:38 | Computer Name = Megatron | Source = VSS | ID = 8194
Description = 
 
Error - 14.09.2010 15:26:31 | Computer Name = Megatron | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 8.0.7600.16385 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: 250    Startzeit: 01cb544173a0bd94    Endzeit: 20    Anwendungspfad: 
C:\Program Files\Internet Explorer\iexplore.exe    Berichts-ID:   
 
Error - 15.09.2010 13:30:13 | Computer Name = Megatron | Source = Application Hang | ID = 1002
Description = Programm ET.exe, Version 0.0.0.0 kann nicht mehr unter Windows ausgeführt
 werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: d3c    Startzeit: 
01cb54f58eb51f94    Endzeit: 461    Anwendungspfad: D:\Program Files\Wolfenstein - Enemy
 Territory\ET.exe    Berichts-ID:   
 
Error - 15.09.2010 14:11:22 | Computer Name = Megatron | Source = Application Hang | ID = 1002
Description = Programm ET.exe, Version 0.0.0.0 kann nicht mehr unter Windows ausgeführt
 werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: d84    Startzeit: 
01cb54fbab80c371    Endzeit: 595    Anwendungspfad: D:\Program Files\Wolfenstein - Enemy
 Territory\ET.exe    Berichts-ID:   
 
Error - 15.09.2010 17:16:21 | Computer Name = Megatron | Source = Windows Search Service | ID = 3007
Description = 
 
Error - 16.09.2010 11:09:03 | Computer Name = Megatron | Source = Application Hang | ID = 1002
Description = Programm ET.exe, Version 0.0.0.0 kann nicht mehr unter Windows ausgeführt
 werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: 11fc    Startzeit:
 01cb559d09f31c9f    Endzeit: 630    Anwendungspfad: D:\Program Files\Wolfenstein - Enemy
 Territory\ET.exe    Berichts-ID:   
 
Error - 17.09.2010 08:35:45 | Computer Name = Megatron | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: firefox.exe, Version: 1.9.2.3888,
 Zeitstempel: 0x4c745229  Name des fehlerhaften Moduls: CoolType.dll, Version: 5.5.72.1,
 Zeitstempel: 0x4c65839a  Ausnahmecode: 0xc0000409  Fehleroffset: 0x00184a72  ID des fehlerhaften
 Prozesses: 0x914  Startzeit der fehlerhaften Anwendung: 0x01cb56633cfffd32  Pfad der
 fehlerhaften Anwendung: C:\Program Files\Mozilla Firefox\firefox.exe  Pfad des fehlerhaften
 Moduls: C:\Program Files\Adobe\Reader 9.0\Reader\CoolType.dll  Berichtskennung: 17111795-c258-11df-b60f-9aefbad38c92
 
Error - 17.09.2010 08:36:04 | Computer Name = Megatron | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: firefox.exe, Version: 1.9.2.3888,
 Zeitstempel: 0x4c745229  Name des fehlerhaften Moduls: CoolType.dll, Version: 5.5.72.1,
 Zeitstempel: 0x4c65839a  Ausnahmecode: 0xc0000409  Fehleroffset: 0x00184a72  ID des fehlerhaften
 Prozesses: 0x9f8  Startzeit der fehlerhaften Anwendung: 0x01cb5664de914efd  Pfad der
 fehlerhaften Anwendung: C:\Program Files\Mozilla Firefox\firefox.exe  Pfad des fehlerhaften
 Moduls: C:\Program Files\Adobe\Reader 9.0\Reader\CoolType.dll  Berichtskennung: 2263571d-c258-11df-b60f-9aefbad38c92
 
Error - 17.09.2010 13:25:06 | Computer Name = Megatron | Source = Google Update | ID = 20
Description = 
 
Error - 17.09.2010 14:56:57 | Computer Name = Megatron | Source = Google Update | ID = 20
Description = 
 
[ OSession Events ]
Error - 08.06.2010 13:32:42 | Computer Name = Megatron | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 3, Application Name: Microsoft Office PowerPoint, Application 
Version: 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session 
lasted 53 seconds with 0 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 23.06.2010 18:08:38 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR14 
gefunden.
 
Error - 23.06.2010 18:08:38 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR14 
gefunden.
 
Error - 24.06.2010 00:46:49 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR15 
gefunden.
 
Error - 24.06.2010 00:46:50 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR15 
gefunden.
 
Error - 24.06.2010 00:46:51 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR15 
gefunden.
 
Error - 24.06.2010 00:53:59 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
 
Error - 24.06.2010 00:54:00 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
 
Error - 25.06.2010 13:07:43 | Computer Name = Megatron | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?24.?06.?2010 um 08:12:45 unerwartet heruntergefahren.
 
Error - 25.06.2010 19:06:10 | Computer Name = Megatron | Source = Service Control Manager | ID = 7043
Description = Der Dienst Windows Update konnte nach dem Empfang eines Preshutdown-Steuerelements
 nicht richtig heruntergefahren werden.
 
Error - 02.07.2010 16:37:28 | Computer Name = Megatron | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst Netman erreicht.
 
 
< End of report >
         
Hoffentlich kann mir hier jemand helfen.

Vielen Dank schonmal,

Gruß premier!
Miniaturansicht angehängter Grafiken
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32-1.jpg   Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32-2.jpg  

Geändert von premier (19.09.2010 um 21:34 Uhr)

Alt 20.09.2010, 09:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Hallo,

hast Du Malwarebytes schon ausgeführt?
__________________

__________________

Alt 20.09.2010, 11:48   #3
premier
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Hi Arne,

vielen Dank, dass du dich meines Problems annimmst. Hab grad nen Malwarebytes Scan gemacht. Hat dabei nen rogue installer entdeckt und gelöscht. Vielleicht bei einem der gestarteten Datei downloads (der angeblichen Malware Beseitigung) eingefangen. Das wird jedoch leider nciht der Trojaner gewesen sein, oder? Hier das logfile:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4655

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20.09.2010 12:36:53
mbam-log-2010-09-20 (12-36-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 227435
Laufzeit: 47 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\*****\AppData\Local\Mozilla\Firefox\Profiles\gyu6ap5n.default\Cache\7C9C2FA7d01 (Rogue.Installer) -> Quarantined and deleted successfully.
         
Gruß premier!
__________________

Alt 20.09.2010, 11:54   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O33 - MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\Shell - "" = AutoRun
O33 - MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\Shell\AutoRun\command - "" = F:\WD SmartWare.exe -- File not found
O33 - MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\Shell - "" = AutoRun
O33 - MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
[2010.09.13 22:18:56 | 000,000,000 | -H-D | C] -- C:\Users\Public\Documents\Server
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.09.2010, 12:46   #5
premier
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Moin.

Hier das aktuelle OTL Logfile. Der Rechner ist bei dem Neustart nicht normal hochgefahren sondern konnte nur mit der Windows Starthilfe starten. Ist das normal?

Code:
ATTFilter
All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\ not found.
File F:\WD SmartWare.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{884729dc-2529-11df-9cbe-00197efa9d6c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{884729dc-2529-11df-9cbe-00197efa9d6c}\ not found.
File F:\LaunchU3.exe not found.
C:\Users\Public\Documents\Server folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Michael
->Temp folder emptied: 622700596 bytes
->Temporary Internet Files folder emptied: 215893909 bytes
->Java cache emptied: 62057082 bytes
->FireFox cache emptied: 79926861 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 113601 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7475817 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 942,00 mb
 
 
OTL by OldTimer - Version 3.2.14.0 log created on 09202010_130154

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         


Alt 20.09.2010, 13:30   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32

Alt 20.09.2010, 14:41   #7
premier
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Hi!

Hier das Combofix Logfile:

Code:
ATTFilter
ComboFix 10-09-19.03 - **** 20.09.2010  15:21:06.1.2 - x86
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.2046.1321 [GMT 2:00]
ausgeführt von:: c:\users\****\Desktop\Cofi.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\\setup.exe
c:\program files\Setup.exe
D:\install.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-20 bis 2010-09-20  ))))))))))))))))))))))))))))))
.

2010-09-20 13:27 . 2010-09-20 13:27    --------    d-----w-    c:\users\Default\AppData\Local\temp
2010-09-20 11:01 . 2010-09-20 11:01    --------    d-----w-    C:\_OTL
2010-09-15 11:01 . 2010-08-21 05:32    316928    ----a-w-    c:\windows\system32\spoolsv.exe
2010-09-13 21:22 . 2010-09-13 21:22    --------    d-----w-    c:\program files\Common Files\Java
2010-09-13 21:22 . 2010-07-17 03:00    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-09-03 15:03 . 2010-09-03 15:03    --------    d-----w-    c:\users\*****\AppData\Roaming\ABBYY
2010-09-03 14:30 . 2010-09-03 14:30    --------    d-----w-    c:\program files\Common Files\ABBYY
2010-09-03 14:28 . 2010-09-03 14:28    --------    d-----w-    c:\users\*****\AppData\Local\ABBYY
2010-09-03 14:28 . 2010-09-03 14:28    --------    d-----w-    c:\programdata\ABBYY
2010-09-03 14:20 . 2010-09-03 14:20    --------    d---a-w-    c:\program files\Common
2010-09-03 14:18 . 2010-09-03 14:56    --------    d---a-w-    c:\program files\ABBYY FineReader 10
2010-09-03 14:18 . 2009-07-07 16:12    245408    ----a-w-    c:\program files\unicows.dll
2010-09-03 14:18 . 2010-09-03 14:18    --------    d---a-w-    c:\program files\ReadMe
2010-09-03 14:18 . 2010-09-03 14:18    --------    d---a-w-    c:\program files\Licences
2010-09-03 14:18 . 2009-10-07 13:21    6410240    ----a-w-    c:\program files\ABBYY FineReader 10 Professional Edition.msi
2010-09-03 14:18 . 2009-07-07 16:12    1822520    ----a-w-    c:\program files\instmsiw.exe
2010-09-03 14:18 . 2010-09-03 14:18    --------    d---a-w-    c:\program files\Guide
2010-09-03 14:01 . 2008-09-08 08:19    19968    ----a-w-    c:\windows\system32\Spool\prtprocs\w32x86\cl31cpc.dll
2010-08-25 10:18 . 2010-04-07 07:10    571904    ----a-w-    c:\windows\system32\oleaut32.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-20 13:27 . 2010-01-31 16:10    --------    d-----w-    c:\program files\Common Files\Akamai
2010-09-20 13:10 . 2009-12-04 12:32    --------    d-----w-    c:\program files\CCleaner
2010-09-20 13:03 . 2009-12-04 14:26    276383    ----a-w-    c:\users\Michael\AppData\Roaming\nvModes.dat
2010-09-20 12:25 . 2009-12-07 13:22    234576    ----a-w-    c:\windows\system32\PnkBstrB.exe
2010-09-20 12:24 . 2009-12-07 13:22    138608    ----a-w-    c:\windows\system32\drivers\PnkBstrK.sys
2010-09-19 21:52 . 2009-07-14 08:47    648704    ----a-w-    c:\windows\system32\perfh007.dat
2010-09-19 21:52 . 2009-07-14 08:47    128930    ----a-w-    c:\windows\system32\perfc007.dat
2010-09-17 17:50 . 2009-12-24 14:23    --------    d-----w-    c:\users\Michael\AppData\Roaming\vlc
2010-09-16 16:24 . 2009-12-04 16:44    --------    d-----w-    c:\program files\Malwarebytes' Anti-Malware
2010-09-15 21:18 . 2009-12-12 13:26    --------    d-----w-    c:\programdata\Microsoft Help
2010-09-13 21:22 . 2009-12-10 16:55    --------    d-----w-    c:\program files\Java
2010-08-08 20:26 . 2010-08-08 20:24    --------    d-----w-    c:\program files\JDownloader
2010-07-31 17:16 . 2009-12-22 16:49    --------    d-----w-    c:\users\*****\AppData\Roaming\mIRC
2010-07-29 06:30 . 2010-08-11 13:21    197632    ----a-w-    c:\windows\system32\ir32_32.dll
2010-07-29 06:30 . 2010-08-11 13:21    82944    ----a-w-    c:\windows\system32\iccvid.dll
2010-07-26 16:28 . 2010-07-26 16:22    --------    d-----w-    c:\program files\ffdshow
2010-07-26 16:21 . 2010-07-26 16:21    4563946    ----a-w-    c:\users\*****\ffdshow_rev3402_20100504_clsid.exe
2010-07-26 16:13 . 2010-07-21 18:30    --------    d-----w-    c:\users\*****\AppData\Roaming\dvdcss
2010-07-22 14:06 . 2009-12-07 13:22    139152    ----a-w-    c:\users\Michael\AppData\Roaming\PnkBstrK.sys
2010-07-22 14:06 . 2009-12-07 13:22    139152    ----a-w-    c:\users\Michael\AppData\Roaming\PnkBstrK.sys
2010-07-22 14:05 . 2009-12-07 13:22    794408    ----a-w-    c:\windows\system32\pbsvc.exe
2010-07-18 22:31 . 2009-12-04 11:57    110000    ----a-w-    c:\users\Michael\AppData\Local\GDIPFONTCACHEV1.DAT
2010-07-16 09:38 . 2010-08-18 14:12    836096    ----a-w-    c:\users\Michael\AppData\Roaming\Octoshape\Octoshape Streaming Services\pmv307a-1007160-0-libOctoshapeClient.dll
2010-06-30 06:25 . 2010-08-11 13:20    978432    ----a-w-    c:\windows\system32\wininet.dll
2009-10-07 09:19 . 2010-09-03 14:18    238080    ----a-w-    c:\program files\1049.mst
2009-10-07 09:19 . 2010-09-03 14:18    138752    ----a-w-    c:\program files\1045.mst
2009-10-07 09:19 . 2010-09-03 14:18    128000    ----a-w-    c:\program files\1036.mst
2009-10-07 09:19 . 2010-09-03 14:18    125952    ----a-w-    c:\program files\1043.mst
2009-10-07 09:19 . 2010-09-03 14:18    130560    ----a-w-    c:\program files\1031.mst
2009-10-07 09:19 . 2010-09-03 14:18    12800    ----a-w-    c:\program files\1033.mst
2009-07-31 18:14 . 2010-09-03 14:18    200    ----a-w-    c:\program files\setup.ini
2009-06-10 21:26 . 2009-07-14 02:04    9633792    --sha-r-    c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42    396800    --sha-w-    c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-05-22 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-22 8433664]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-22 81920]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-02-06 839680]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"Bonus.SSR.FR10"="c:\program files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" [2009-10-07 939272]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-12-20 719664]
VPN Client.lnk - c:\windows\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico [2010-2-16 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1ca8b26d84ef62e;Google Update Service (gupdate1ca8b26d84ef62e);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-01 133104]
R3 ALSysIO;ALSysIO;c:\users\Michael\AppData\Local\Temp\ALSysIO.sys [x]
R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]
S2 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\program files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [2009-09-29 809736]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [2006-11-14 13312]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper    REG_MULTI_SZ       getPlusHelper
Akamai    REG_MULTI_SZ       Akamai
.
Inhalt des "geplante Tasks" Ordners

2010-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-01 21:10]

2010-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-01 21:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Citavi Picker... - file://c:\program files\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} - hxxps://juniper.net/dana-cached/sc/JuniperSetupClient.cab
FF - ProfilePath - c:\users\Michael\AppData\Roaming\Mozilla\Firefox\Profiles\gyu6ap5n.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
FF - plugin: c:\program files\Veetle\VLCBroadcast\npvbp.dll
FF - plugin: c:\users\Michael\AppData\Roaming\Mozilla\Firefox\Profiles\gyu6ap5n.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\users\Michael\AppData\Roaming\Mozilla\plugins\npoctoshape.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-09-20  15:29:50
ComboFix-quarantined-files.txt  2010-09-20 13:29

Vor Suchlauf: 7 Verzeichnis(se), 31.226.089.472 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 30.991.052.800 Bytes frei

- - End Of File - - 7AA2C1C1402B03E8C61A58769FEFA335
         

Alt 20.09.2010, 17:27   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.09.2010, 18:26   #9
premier
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Hallo Arne.

GMER hat leider mein Notebook zwei Mal zum abstürzen gebracht. Hier das Osam logfile:

Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 19:17:58 on 20.09.2010

OS: Windows 7  (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLCFG32.CPL
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ALSysIO" (ALSysIO) - ? - C:\Users\Michael\AppData\Local\Temp\ALSysIO.sys  (File not found)
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\Michael\AppData\Local\Temp\catchme.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\Windows\system32\Drivers\CVPNDRVA.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{731E006D-0C55-4C6F-ABF0-C98F268FD077} "APDFRCtxMenu Class" - ? - C:\Program Files\APDFR\APDFRSHL.dll
{D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll
{83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll
{bc5e1455-02ca-4b30-8eed-91d52a38da75} "FineReader10.FRContextMenu.1" - "ABBYY." - C:\Program Files\ABBYY FineReader 10\FRIntegration.dll
{99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\Windows\system32\btncopy.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll

[Internet Explorer]
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{F27237D7-93C8-44C2-AC6E-D6057B9A918F} "JuniperSetupClientControl Class" - "Juniper Networks" - C:\Windows\Downloaded Program Files\JuniperSetupClient.ocx / https://juniper.net/dana-cached/sc/JuniperSetupClient.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
"ICQ6" - "ICQ, LLC." - C:\Program Files\ICQ6.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"BTTray.lnk" - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)
"VPN Client.lnk" - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\vpngui.exe  (Shortcut exists | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"Bonus.SSR.FR10" - "ABBYY." - "C:\Program Files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" /autorun
"GrooveMonitor" - "Microsoft Corporation" - "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
"iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe"
" Malwarebytes Anti-Malware  (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"@C:\Program Files\NOS\bin\getPlus_Helper.dll,-101" (getPlusHelper) - "NOS Microsystems Ltd." - C:\Program Files\NOS\bin\getPlus_Helper.dll
"ABBYY FineReader 10 PE Licensing Service" (ABBYY.Licensing.FineReader.Professional.10.0) - "ABBYY" - C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe
"Akamai NetSession Interface" (Akamai) - ? - c:\program files\common files\akamai\rswin_3746.dll  (File found, but it contains no detailed information)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
"Google Update Service (gupdate1ca8b26d84ef62e)" (gupdate1ca8b26d84ef62e) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe  (File found, but it contains no detailed information)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         
und alles was der bootkit remover ausgegeben hat:

Code:
ATTFilter
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows 7  (build 7600), 32-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000002`80100000
Boot sector MD5 is: bb4f1627d8b9beda49ac0d010229f3ff

     Size  Device Name          MBR Status
 --------------------------------------------
   186 GB  \\.\PhysicalDrive0   OK (DOS/Win32 Boot code found)


Done;
Press any key to quit...
         
Gruß premier!

Alt 20.09.2010, 18:27   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Zitat:
186 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.09.2010, 20:49   #11
premier
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Servus!

Hier die Scans von malwarebyte:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4657

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20.09.2010 20:19:37
mbam-log-2010-09-20 (20-19-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 230100
Laufzeit: 46 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
und von Super Anti Spyware

Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/20/2010 at 09:35 PM

Application Version : 4.43.1000

Core Rules Database Version : 5541
Trace Rules Database Version: 3353

Scan type       : Complete Scan
Total Scan Time : 00:56:07

Memory items scanned      : 759
Memory threats detected   : 0
Registry items scanned    : 9825
Registry threats detected : 0
File items scanned        : 93589
File threats detected     : 2

Adware.Tracking Cookie
    s0.2mdn.net [ C:\Users\Michael\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\P6HAHMW9 ]
    www.naiadsystems.com [ C:\Users\Michael\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\P6HAHMW9 ]
         
Sieht ganz gut aus, oder?

Gruß premier!

Alt 20.09.2010, 21:23   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.09.2010, 21:30   #13
premier
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Ne, die google Suche funktioniert wieder ganz normal. Denkst du, ich kann so wieder beruhigt mit dem Notebook arbeiten?

Vielen Dank schonmal für deine Mühen! Wirklich klasse!

Gruß premier!

Alt 21.09.2010, 10:25   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Wir sind dann durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.09.2010, 17:48   #15
premier
 
Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH  und TR/spy.96256.32 - Standard

Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32



Sauber! Alles upgedated.

Vielen, vielen Dank! Das ging ja wirklich flott!

Viele Grüße premier!

Antwort

Themen zu Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32
0 bytes, agere systems, akamai, anlage, antivir, audiodg.exe, autorun, avgntflt.sys, bho, bonjour, browser, components, corp./icp, desktop, dwm.exe, error, eudora, excel.exe, fehlalarm, firefox.exe, flash player, fontcache, google, google chrome, iexplore.exe, install.exe, jar_cache, java virus, java-virus, jdownloader, jusched.exe, langs, local\temp, location, malware, malware gefunden, microsoft office word, nt.dll, nvlddmkm.sys, nvstor.sys, office 2007, oldtimer, otl logfile, otl scan, otl.exe, programdata, registry, saver, sched.exe, searchplugins, security, security update, sekunden, shell32.dll, software, start menu, starten, svchost.exe, system, taskhost.exe, tr/spy., trojaner, usb, versteckte objekte, verweise, viren, virus gefunden, vlc media player, warnung, webcheck, windows



Ähnliche Themen: Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32


  1. Google Chrome Einstellungen werden von einem anderen Programm manipuliert
    Log-Analyse und Auswertung - 29.04.2015 (11)
  2. WIN7: Google Suchergebnisse auf Chrome manipuliert
    Log-Analyse und Auswertung - 22.02.2015 (6)
  3. Google Ergebnisse manipuliert
    Log-Analyse und Auswertung - 02.12.2014 (9)
  4. Win 7: Google Chrome/Mozilla firefox lässt vermehrt Werbung auf Webseiten zu & Google Suchergebnisse scheinen manipuliert zu sein
    Log-Analyse und Auswertung - 29.04.2014 (8)
  5. Vista - Firefox keine funktion, System langsam, Abstürze - System verseucht?
    Plagegeister aller Art und deren Bekämpfung - 18.11.2013 (18)
  6. Computer scheint Spamemails zu versenden und manipuliert Suchergebnisse bei der Bildersuche mit Google
    Log-Analyse und Auswertung - 23.04.2013 (17)
  7. Avira meldet TR/Offend.KD.382734 und EXP/CVE-2009-3867.GX, sonst keine Symptome
    Log-Analyse und Auswertung - 24.03.2012 (9)
  8. Bei Google Suche öffnen sich falsche Seiten / Trojaner versteckt im System Bezahle 100€
    Plagegeister aller Art und deren Bekämpfung - 16.01.2012 (1)
  9. Sinowal.D und JAVA/C-2009-2867.EH gefunden
    Plagegeister aller Art und deren Bekämpfung - 16.02.2011 (3)
  10. Browser öffnet Google Seiten oder Werbung, Google Suche funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (26)
  11. trojaner manipuliert google (postbank tan usw)
    Plagegeister aller Art und deren Bekämpfung - 29.12.2010 (11)
  12. ,,Google Virus" Problem bei google suche und PC extrem langsam
    Log-Analyse und Auswertung - 20.10.2010 (17)
  13. Exploit: Java/CVE-2009-3867 / TrojanDownloader:Java/OpenStream.F !
    Log-Analyse und Auswertung - 19.10.2010 (31)
  14. Antivir Fund --> JAVA/C-2009-3867.EH
    Plagegeister aller Art und deren Bekämpfung - 13.10.2010 (37)
  15. eine menge viren, unteranderem Exploit.Java.CVE-2009
    Plagegeister aller Art und deren Bekämpfung - 20.08.2010 (36)
  16. Veraltete Java-Programme in Encyclopaedia Britannica 2009
    Plagegeister aller Art und deren Bekämpfung - 21.05.2009 (0)
  17. Trojaner manipuliert google?
    Plagegeister aller Art und deren Bekämpfung - 13.08.2006 (5)

Zum Thema Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 - Hallo! Hab mir leider etwas eingefangen. Vor ca. einer Woche hat AntiVir mir angezeigt, dass sich zwei Java Viren auf meinem Rechner befinden. Kurz darauf ist dann der Windows Defender - Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32...
Archiv
Du betrachtest: Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.