Sparkasse Login: TAN Abfrage

aw-kapa · 27.10.2010, 08:43

Moin,

ich habe hier einen Rechner der anscheinend mit einem JAVA Virus/Trojaner whatever befallen ist. Während des Online-Bankings bei der Sparkasse erscheint eine TAN Abfrage.

Combofix, Kaspersky Boot CD, Antivir Boot CD, Malwarebytes, GMER, Antivir Premium, Hijackthis usw. habe ich drüberlaufen lassen.
Die Programme finden erstmal nichts mehr.
Ich möchte allerdings sichergehen, daß wieder Alles i.O. ist.
Vielleicht könnt ihr mir ja helfen.

Zitat:

OTL logfile created on: 27.10.2010 09:33:18 - Run 1
OTL by OldTimer - Version 3.2.17.1 Folder = C:\Dokumente und Einstellungen\Pilla\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 60,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 196,51 Gb Free Space | 84,38% Space Free | Partition Type: NTFS

Computer Name: FAHRSCHU-1C2363 | User Name: Pilla | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2010.10.27 09:31:38 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pilla\Eigene Dateien\Downloads\OTL.exe
PRC - [2010.10.21 15:38:07 | 001,930,552 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\Pilla\Eigene Dateien\Downloads\dfsetup121\Defraggler.exe
PRC - [2010.09.16 19:59:28 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.08.24 11:38:18 | 000,092,008 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
PRC - [2010.08.24 11:38:16 | 000,247,144 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe
PRC - [2010.04.21 18:05:20 | 000,161,136 | ---- | M] (Famatech Corp.) -- C:\WINDOWS\system32\rserver30\FamItrfc.Exe
PRC - [2010.04.21 18:05:20 | 000,161,136 | ---- | M] (Famatech Corp.) -- C:\WINDOWS\system32\rserver30\FamItrf2.Exe
PRC - [2010.04.21 06:02:02 | 001,242,480 | ---- | M] (Famatech Corp.) -- C:\WINDOWS\system32\rserver30\rserver3.exe
PRC - [2010.04.19 12:49:22 | 000,405,672 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2010.04.19 12:49:22 | 000,337,064 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe
PRC - [2010.04.19 12:49:22 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.04.19 12:49:21 | 000,536,232 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe
PRC - [2010.03.24 15:57:32 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.03.24 15:57:30 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.03.24 15:57:30 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
PRC - [2009.12.09 16:01:20 | 000,606,208 | ---- | M] () -- C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
PRC - [2009.05.07 02:01:00 | 001,904,640 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanGUI.exe
PRC - [2009.05.07 02:01:00 | 000,368,640 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanNetService.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.11.13 14:50:28 | 001,289,000 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft ActiveSync\wcescomm.exe
PRC - [2006.11.13 14:50:16 | 000,199,464 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft ActiveSync\rapimgr.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

========== Modules (SafeList) ==========

MOD - [2010.10.27 09:31:38 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Pilla\Eigene Dateien\Downloads\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2008.04.14 04:22:14 | 000,586,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\mlang.dll

========== Win32 Services (SafeList) ==========

SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
SRV - [2010.08.24 11:38:18 | 000,092,008 | ---- | M] (TomTom) [Auto | Running] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService)
SRV - [2010.04.21 06:02:02 | 001,242,480 | ---- | M] (Famatech Corp.) [Auto | Running] -- C:\WINDOWS\System32\rserver30\RServer3.exe -- (RServer3)
SRV - [2010.04.19 12:49:22 | 000,405,672 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2010.04.19 12:49:22 | 000,337,064 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2010.04.19 12:49:22 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.04.19 12:49:21 | 000,536,232 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe -- (AntiVirFirewallService)
SRV - [2010.03.24 15:57:32 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2010.01.26 13:41:08 | 000,652,800 | ---- | M] (Nokia) [Disabled | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2009.05.07 02:01:00 | 000,368,640 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2007.01.31 15:55:42 | 000,096,370 | ---- | M] (Canon Inc.) [Disabled | Stopped] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)

========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\SSPORT.sys -- (SSPORT)
DRV - File not found [File_System | Unknown | Running] -- -- (setup_9.0.0.722_26.10.2010_07-24drv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~2\MSI\MSIWDev\VGASYS32_100507.sys -- (MSI_VGASYS_010507)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~2\MSI\MSIWDev\msibios32_100507.sys -- (MSI_MSIBIOS_010507)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~2\MSI\MSIWDev\DVDSYS32_100507.sys -- (MSI_DVD_010507)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\DgiVecp.sys -- (DgiVecp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\UWEBCK~1\LOKALE~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | Unknown | Running] -- -- (00680112)
DRV - File not found [Kernel | Disabled | Running] -- C:\WINDOWS\System32\DRIVERS\00680111.sys -- (00680111)
DRV - [2010.06.08 01:57:00 | 010,531,200 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2010.04.21 06:02:00 | 000,046,280 | ---- | M] (Famatech Corp.) [Kernel | System | Running] -- C:\WINDOWS\system32\rserver30\raddrvv3.sys -- (raddrvv3)
DRV - [2010.04.21 06:02:00 | 000,003,328 | ---- | M] (Famatech International Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rminiv3.sys -- (mirrorv3)
DRV - [2010.03.24 15:57:32 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.03.24 15:57:32 | 000,102,856 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avfwot.sys -- (avfwot)
DRV - [2010.03.24 15:57:32 | 000,079,432 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avfwim.sys -- (avfwim)
DRV - [2010.03.24 15:57:32 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.03.17 16:40:12 | 005,878,304 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.11.18 07:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 07:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.11.12 14:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.06.09 12:24:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.05.20 08:56:59 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.07 02:01:00 | 000,440,832 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusbn.sys -- (fwlanusbn)
DRV - [2009.05.07 02:01:00 | 000,265,088 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2009.05.07 02:01:00 | 000,004,352 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2008.08.26 10:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008.03.13 07:19:32 | 000,045,344 | R--- | M] (FotoNation Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CoachVid.sys -- (CoachVid)
DRV - [2008.01.03 22:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007.12.14 09:21:32 | 000,009,216 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\MSI\Live Update 4\LU4\FlashSys.sys -- (FLASHSYS)
DRV - [2007.05.07 03:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2007.05.07 02:00:00 | 000,537,600 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 13:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box;192.168.178.1

========== FireFox ==========

FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.17 13:43:09 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.10.21 15:24:50 | 000,000,000 | ---D | M]

[2009.05.27 15:28:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Mozilla\Extensions
[2009.05.27 15:28:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2010.10.26 09:35:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Mozilla\Firefox\Profiles\pgulbfpa.default\extensions
[2010.05.08 09:43:55 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Mozilla\Firefox\Profiles\pgulbfpa.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.10.23 19:43:07 | 000,001,201 | ---- | M] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Mozilla\Firefox\Profiles\pgulbfpa.default\searchplugins\winamp-search.xml
[2010.10.26 09:35:05 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.10.26 09:34:29 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.10.26 09:34:17 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.06.30 18:26:34 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.06.30 18:26:34 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.06.30 18:26:34 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.06.30 18:26:34 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.06.30 18:26:34 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.10.26 17:17:32 | 000,423,486 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 14598 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: () - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\Programme\klickTel\klickTel Toolbar\kttoolbar.dll (klickTel AG)
O3 - HKLM\..\Toolbar: (&klickTel Toolbar) - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\Programme\klickTel\klickTel Toolbar\kttoolbar.dll (klickTel AG)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
O4 - HKCU..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O15 - HKCU\..Trusted Domains: com ([www.msi] http in Trusted sites)
O15 - HKCU\..Trusted Domains: com.tw ([asia.msi] http in Trusted sites)
O15 - HKCU\..Trusted Domains: com.tw ([global.msi] http in Trusted sites)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range37 ([*] in Lokales Intranet)
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 80.69.98.110 62.220.18.8
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.08.20 03:50:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.10.26 17:13:34 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Pilla\Recent
[2010.10.26 09:37:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood
[2010.10.26 09:34:43 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.10.26 09:34:28 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.10.26 09:34:28 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.10.26 09:34:28 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.10.26 09:34:28 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.10.26 09:34:13 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.10.26 09:33:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Sun
[2010.10.22 09:12:20 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Pilla\IECompatCache
[2010.10.22 09:11:56 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Pilla\PrivacIE
[2010.10.22 09:08:33 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Pilla\IETldCache
[2010.10.22 09:06:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2010.10.22 09:05:31 | 011,080,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ieframe.dll
[2010.10.22 09:05:31 | 001,986,560 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iertutil.dll
[2010.10.22 09:05:31 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.10.22 09:05:31 | 000,602,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msfeeds.dll
[2010.10.22 09:05:31 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msfeedsbs.dll
[2010.10.22 09:05:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM
[2010.10.22 09:04:04 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.10.22 08:58:03 | 000,000,000 | ---D | C] -- C:\Service
[2010.10.22 08:56:18 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.10.21 15:36:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
[2010.10.21 15:28:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\rserver30
[2010.10.21 15:28:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
[2010.10.21 15:25:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Malwarebytes
[2010.10.21 15:25:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.10.21 15:24:58 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.21 15:24:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.21 15:24:54 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.21 15:24:54 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.21 15:24:50 | 000,472,808 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.10.20 18:05:21 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.10.14 14:17:55 | 000,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc42.dll
[2010.10.14 14:17:55 | 000,953,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc40u.dll
[2010.10.14 14:17:49 | 000,617,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\comctl32.dll
[2010.10.06 14:15:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\com.nyt.timesreader.78C54164786ADE80CB31E1C5D95607D0938C987A.1
[2010.10.06 14:15:18 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR
[2010.10.04 18:10:03 | 000,000,000 | ---D | C] -- C:\Programme\avmwlanstick
[2010.09.30 15:51:22 | 000,000,000 | ---D | C] -- C:\Programme\OXXOGames
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.10.27 08:59:00 | 000,001,096 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.10.26 17:17:32 | 000,423,486 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.10.26 15:59:00 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.10.26 15:07:23 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.10.26 12:42:56 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.26 09:34:16 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.10.26 09:34:16 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.10.26 09:34:16 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.10.26 09:34:16 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.10.26 09:34:16 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.10.25 14:05:35 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.10.25 14:05:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.22 19:29:48 | 008,650,752 | -H-- | M] () -- C:\Dokumente und Einstellungen\Pilla\NTUSER.DAT
[2010.10.22 19:29:48 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Pilla\ntuser.ini
[2010.10.22 17:00:09 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2010.10.21 16:24:34 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.10.20 16:45:37 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\Pilla\Desktop\Word.lnk
[2010.10.20 16:28:24 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\Pilla\Desktop\Outlook.lnk
[2010.10.20 14:21:13 | 000,002,537 | ---- | M] () -- C:\Dokumente und Einstellungen\Pilla\Desktop\Excel.lnk
[2010.10.19 20:03:01 | 000,000,357 | ---- | M] () -- C:\WINDOWS\wiso.ini
[2010.10.14 14:56:21 | 001,071,242 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.10.14 14:56:21 | 000,462,322 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.14 14:56:21 | 000,444,028 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.14 14:56:21 | 000,085,344 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.14 14:56:21 | 000,071,904 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.14 14:55:39 | 000,195,848 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.14 14:19:37 | 000,000,623 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.10.08 14:07:11 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.10.05 18:18:46 | 000,044,032 | ---- | M] () -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.05 14:17:57 | 000,050,176 | -H-- | M] () -- C:\WINDOWS\System32\cmdlplui.dll
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.10.11 15:18:13 | 000,001,777 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2010.10.08 14:07:11 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.10.05 14:17:57 | 000,050,176 | -H-- | C] () -- C:\WINDOWS\System32\cmdlplui.dll
[2010.09.13 13:43:45 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI
[2010.07.01 20:14:07 | 000,113,392 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.05.04 13:47:48 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2010.03.16 13:51:11 | 000,000,357 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2010.01.15 14:33:06 | 000,022,723 | ---- | C] () -- C:\WINDOWS\System32\cl31cl3.dll
[2009.04.23 11:44:33 | 000,044,032 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.04.08 13:34:05 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2009.01.08 18:53:58 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2008.12.04 17:29:34 | 000,001,408 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.12.04 17:29:33 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.09.24 14:43:43 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\$_hpcst$.hpc
[2008.09.22 13:44:30 | 000,000,365 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\HelpFilesUpdatePatch_PRINTHELPWRAPPER.log
[2008.09.22 13:44:30 | 000,000,234 | ---- | C] () -- C:\WINDOWS\PrnHlpLogConfig.ini
[2008.09.22 13:44:30 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\HelpFilesUpdatePatch_HELPFILEREPLACE.log
[2008.09.22 08:51:26 | 000,003,226 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\PatchUpdate_InstantShareJPG.log
[2008.09.22 08:51:25 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_InstantSHareJPG.ini
[2008.09.22 08:51:02 | 000,004,027 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\PatchUpdate_IZClosingDiscError.log
[2008.09.22 08:51:02 | 000,000,217 | ---- | C] () -- C:\WINDOWS\HP_IZClosingDiscErrorPatch.ini
[2008.09.22 08:48:41 | 000,028,571 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\Update_HP_RedboxHprblog_HPSU.log
[2008.09.22 08:48:41 | 000,000,221 | ---- | C] () -- C:\WINDOWS\HP_RedboxHprblog_HPSU.ini
[2008.08.27 15:06:38 | 000,000,043 | ---- | C] () -- C:\WINDOWS\hpfccopy.INI
[2008.08.22 14:15:23 | 000,000,214 | ---- | C] () -- C:\WINDOWS\ktel.ini
[2008.08.20 20:07:29 | 000,000,099 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2008.08.20 20:06:25 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDED68PE.ini
[2008.08.20 20:03:23 | 000,048,896 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2008.08.20 20:03:22 | 000,000,143 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.08.20 19:58:48 | 000,000,346 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2008.08.20 18:53:30 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\$_hpcst$.hpc
[2008.08.20 18:52:12 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.08.20 04:37:35 | 001,071,242 | ---- | C] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2008.08.20 04:37:35 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.08.20 04:37:08 | 000,000,062 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
[2008.08.20 03:57:46 | 006,922,128 | -H-- | C] () -- C:\Dokumente und Einstellungen\Pilla\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2008.08.20 03:56:42 | 000,000,062 | -HS- | C] () -- C:\Dokumente und Einstellungen\Pilla\Anwendungsdaten\desktop.ini
[2008.08.20 03:50:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\control.ini
[2008.08.20 03:48:00 | 000,000,037 | ---- | C] () -- C:\WINDOWS\vbaddin.ini
[2008.08.20 03:48:00 | 000,000,036 | ---- | C] () -- C:\WINDOWS\vb.ini
[2008.08.20 03:47:12 | 000,027,055 | ---- | C] () -- C:\WINDOWS\System32\tslabels.ini
[2008.08.20 03:47:11 | 000,003,999 | ---- | C] () -- C:\WINDOWS\System32\msdtcprf.ini
[2007.10.04 11:14:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2004.08.04 14:00:00 | 001,015,477 | ---- | C] () -- C:\WINDOWS\System32\esentprf.ini
[2004.08.04 14:00:00 | 000,733,696 | ---- | C] () -- C:\WINDOWS\System32\qedwipes.dll
[2004.08.04 14:00:00 | 000,355,112 | ---- | C] () -- C:\WINDOWS\System32\msjetoledb40.dll
[2004.08.04 14:00:00 | 000,270,848 | ---- | C] () -- C:\WINDOWS\System32\sbe.dll
[2004.08.04 14:00:00 | 000,253,440 | ---- | C] () -- C:\WINDOWS\System32\compatui.dll
[2004.08.04 14:00:00 | 000,199,168 | ---- | C] () -- C:\WINDOWS\System32\ir32_32.dll
[2004.08.04 14:00:00 | 000,186,880 | ---- | C] () -- C:\WINDOWS\System32\encdec.dll
[2004.08.04 14:00:00 | 000,094,282 | ---- | C] () -- C:\WINDOWS\System32\msencode.dll
[2004.08.04 14:00:00 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\amstream.dll
[2004.08.04 14:00:00 | 000,053,478 | ---- | C] () -- C:\WINDOWS\System32\tcpmon.ini
[2004.08.04 14:00:00 | 000,042,809 | ---- | C] () -- C:\WINDOWS\System32\key01.sys
[2004.08.04 14:00:00 | 000,042,537 | ---- | C] () -- C:\WINDOWS\System32\keyboard.sys
[2004.08.04 14:00:00 | 000,035,648 | ---- | C] () -- C:\WINDOWS\System32\ntio411.sys
[2004.08.04 14:00:00 | 000,035,424 | ---- | C] () -- C:\WINDOWS\System32\ntio412.sys
[2004.08.04 14:00:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\ntio804.sys
[2004.08.04 14:00:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\ntio404.sys
[2004.08.04 14:00:00 | 000,034,032 | ---- | C] () -- C:\WINDOWS\System32\ntio.sys
[2004.08.04 14:00:00 | 000,029,370 | ---- | C] () -- C:\WINDOWS\System32\ntdos411.sys
[2004.08.04 14:00:00 | 000,029,274 | ---- | C] () -- C:\WINDOWS\System32\ntdos412.sys
[2004.08.04 14:00:00 | 000,029,146 | ---- | C] () -- C:\WINDOWS\System32\ntdos804.sys
[2004.08.04 14:00:00 | 000,029,146 | ---- | C] () -- C:\WINDOWS\System32\ntdos404.sys
[2004.08.04 14:00:00 | 000,027,914 | ---- | C] () -- C:\WINDOWS\System32\ntdos.sys
[2004.08.04 14:00:00 | 000,027,097 | ---- | C] () -- C:\WINDOWS\System32\country.sys
[2004.08.04 14:00:00 | 000,017,241 | ---- | C] () -- C:\WINDOWS\System32\rsvp.ini
[2004.08.04 14:00:00 | 000,015,360 | ---- | C] () -- C:\WINDOWS\System32\tsd32.dll
[2004.08.04 14:00:00 | 000,014,336 | ---- | C] () -- C:\WINDOWS\System32\msdmo.dll
[2004.08.04 14:00:00 | 000,014,060 | ---- | C] () -- C:\WINDOWS\System32\pschdprf.ini
[2004.08.04 14:00:00 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\win87em.dll
[2004.08.04 14:00:00 | 000,009,032 | ---- | C] () -- C:\WINDOWS\System32\ansi.sys
[2004.08.04 14:00:00 | 000,006,287 | ---- | C] () -- C:\WINDOWS\System32\rasctrs.ini
[2004.08.04 14:00:00 | 000,004,992 | ---- | C] () -- C:\WINDOWS\System32\himem.sys
[2004.08.04 14:00:00 | 000,004,438 | ---- | C] () -- C:\WINDOWS\System32\perfci.ini
[2004.08.04 14:00:00 | 000,004,233 | ---- | C] () -- C:\WINDOWS\System32\perfwci.ini
[2004.08.04 14:00:00 | 000,001,783 | ---- | C] () -- C:\WINDOWS\System32\perffilt.ini
[2004.08.04 14:00:00 | 000,001,405 | ---- | C] () -- C:\WINDOWS\msdfmap.ini
[2004.08.04 14:00:00 | 000,000,623 | ---- | C] () -- C:\WINDOWS\win.ini
[2004.08.04 14:00:00 | 000,000,369 | ---- | C] () -- C:\WINDOWS\System32\prodspec.ini
[2004.08.04 14:00:00 | 000,000,227 | ---- | C] () -- C:\WINDOWS\system.ini
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2001.08.18 06:54:08 | 000,157,696 | ---- | C] () -- C:\WINDOWS\System32\paqsp.dll

========== Alternate Data Streams ==========

@Alternate Data Stream - 118 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6462F1FD
@Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C31F31E6
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

FC5A2B2

< End of report >

Chris4You · 27.10.2010, 08:56

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\System32\cmdlplui.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Dann noch bitte:
Dr. Web
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

aw-kapa · 27.10.2010, 09:55

Hier die Datei von Virustotal.com:

Code:

ATTFilter

Antivirus results 
AhnLab-V3 - 2010.10.27.01 - 2010.10.27 - Win-Trojan/Variant.50176.AA  
AntiVir - 7.10.13.47 - 2010.10.27 - - 
Antiy-AVL - 2.0.3.7 - 2010.10.27 - - 
Authentium - 5.2.0.5 - 2010.10.27 - W32/FakeAlert.IA.gen!Eldorado  
Avast - 4.8.1351.0 - 2010.10.26 - Win32:Carberp-B  
Avast5 - 5.0.594.0 - 2010.10.26 - Win32:Carberp-B  
AVG - 9.0.0.851 - 2010.10.26 - PSW.Generic8.ZAQ  
BitDefender - 7.2 - 2010.10.27 - Gen:Variant.Ursnif.18  
CAT-QuickHeal - 11.00 - 2010.10.26 - - 
ClamAV - 0.96.2.0-git - 2010.10.27 - - 
Comodo - 6526 - 2010.10.27 - - 
DrWeb - 5.0.2.03300 - 2010.10.27 - BackDoor.Spy.647  
Emsisoft - 5.0.0.50 - 2010.10.27 - - 
eSafe - 7.0.17.0 - 2010.10.26 - - 
eTrust-Vet - 36.1.7937 - 2010.10.26 - - 
F-Prot - 4.6.2.117 - 2010.10.26 - W32/FakeAlert.IA.gen!Eldorado  
F-Secure - 9.0.16160.0 - 2010.10.27 - Gen:Variant.Ursnif.18  
Fortinet - 4.2.249.0 - 2010.10.27 - - 
GData - 21 - 2010.10.27 - Gen:Variant.Ursnif.18  
Ikarus - T3.1.1.90.0 - 2010.10.27 - - 
Jiangmin - 13.0.900 - 2010.10.27 - - 
K7AntiVirus - 9.66.2838 - 2010.10.26 - Riskware  
Kaspersky - 7.0.0.125 - 2010.10.27 - - 
McAfee - 5.400.0.1158 - 2010.10.27 - - 
McAfee-GW-Edition - 2010.1C - 2010.10.27 - - 
Microsoft - 1.6301 - 2010.10.27 - VirTool:Win32/Obfuscator.JL  
NOD32 - 5566 - 2010.10.27 - - 
Norman - 6.06.10 - 2010.10.26 - - 
nProtect - 2010-10-27.01 - 2010.10.27 - Trojan/W32.Agent.50176.JK  
Panda - 10.0.2.7 - 2010.10.27 - - 
PCTools - 7.0.3.5 - 2010.10.27 - - 
Prevx - 3.0 - 2010.10.27 - - 
Rising - 22.71.01.04 - 2010.10.27 - - 
Sophos - 4.58.0 - 2010.10.27 - Mal/EncPk-TV  
Sunbelt - 7148 - 2010.10.27 - Backdoor.Win32.Papras.rx (v)  
SUPERAntiSpyware - 4.40.0.1006 - 2010.10.27 - - 
Symantec - 20101.2.0.161 - 2010.10.27 - - 
TheHacker - 6.7.0.1.069 - 2010.10.27 - - 
TrendMicro - 9.120.0.1004 - 2010.10.27 - - 
TrendMicro-HouseCall - 9.120.0.1004 - 2010.10.27 - - 
VBA32 - 3.12.14.1 - 2010.10.25 - BScope.FearGen.xe  
ViRobot - 2010.10.25.4110 - 2010.10.27 - - 
VirusBuster - 12.70.6.0 - 2010.10.26 - Trojan.Ursnif.Gen!Pac  
File info: 
MD5: f3be817639d404af66aa8ca3d5ca84ba 
SHA1: c40c6bb1c45d716b500ac04bbd2419d9a7bac3a6 
SHA256: 67d49582d1903e2f60b0e7e001f4304d79b98d30a211e3fef6b6310ab723a2e7 
File size: 50176 bytes 
Scan date: 2010-10-27 08:52:40 (UTC)

Chris4You · 27.10.2010, 13:02

Hi,

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:

ATTFilter

:OTL
[2010.10.05 14:17:57 | 000,050,176 | -H-- | M] () -- C:\WINDOWS\System32\cmdlplui.dll

:Commands
[emptytemp]
[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Dann noch:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

aw-kapa · 27.10.2010, 13:10

Ich habe die DLL bereits händisch gelöscht. Dr.Web läuft z.Z. als Komplett-Scan durch - dauert noch.

Chris4You · 27.10.2010, 14:46

Hi,

ja, Dr.Web braucht da etwas länger zu...

chris

aw-kapa · 27.10.2010, 15:46

Hm, ich bin mir grad nicht sicher, ob die Protokolldatei von Dr. Web richtig erstellt wurde. Jedenfalls wurde folgendes protokolliert:

Code:

ATTFilter

A0109094.cmd;C:\System Volume Information\_restore{E6D715F5-8EEF-47A4-8C4A-30F512165141}\RP650;Wahrscheinlich BATCH.Virus;;
A0109876.exe\32788R22FWJFW\Create.cmd;C:\System Volume Information\_restore{E6D715F5-8EEF-47A4-8C4A-30F512165141}\RP657\A0109876.exe;Wahrscheinlich BATCH.Virus;;
A0109876.exe;C:\System Volume Information\_restore{E6D715F5-8EEF-47A4-8C4A-30F512165141}\RP657;Archiv enthält infizierte Objekte;Verschoben.;
A0109885.dll;C:\System Volume Information\_restore{E6D715F5-8EEF-47A4-8C4A-30F512165141}\RP657;BackDoor.Spy.647;Gelöscht.;

Chris4You · 27.10.2010, 15:53

Hi,

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Was macht der Rechner?

chris

aw-kapa · 27.10.2010, 16:14

Restore Point ist gelöscht/deaktiviert und wieder aktiviert. Bis auf die Tatsache, dass javaw.exe im normalen XP Modus abstürzt, läuft der Rechner.
Diesbezüglich habe ich bereits Java kompl. deinstalliert, soweit es mir möglich war händisch JAVA Reste gelöscht und die neueste Version installiert. Der Fehler besteht weiterhin - sporadisch.

Eine PIN Abfrage konnte ich bei der Sparkasse nun nicht mehr feststellen, was ich aber schon nach der Kaspersky Boot CD nicht konnte :-)

Chris4You · 27.10.2010, 20:07

Hi,

hm, darauf (java) kann ich mir keinen reim machen...

chris

aw-kapa · 28.10.2010, 10:55

Das hat auch nichts mit Viren/Trojaner zu tun. Ist in meinen Augen ein allgemeines Betriebssystem-Problem. Da ist anscheinend irgendwas durcheinander.

Der Virus ist jedenfalls gelöscht.

Vielen Dank für die freundliche Unterstützung!

Chris4You · 28.10.2010, 11:11

Hi,

probier mal das hier:
System Reparieren:
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
Advanced SystemCare Free Download Review for Windows XP/Vista/7 | IObit
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

chris

Sparkasse Login: TAN Abfrage

Plagegeister aller Art und deren Bekämpfung: Sparkasse Login: TAN Abfrage