Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2011, 21:05   #1
Stabilo
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



Hallo,
ich habe ein Problem. Seit zwei Tagen öffnet sich der Internetexplorer automatisch und ich bin hilflos. Bitte helft mir!


Gruß Stabilo!

Alt 14.02.2011, 21:28   #2
Swisstreasure
/// Malwareteam
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:
  • Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
  • Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
  • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Gmer startet automatisch einen ersten Scan.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    Code:
    ATTFilter
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system?
             
  • Unbedingt auf "No" klicken,
    in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

    .
  • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
  • Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
  • Wichtig: "Show all" darf nicht angehakt sein!
  • Starte den Scan durch Drücken des Buttons "Scan".
    Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
  • Wenn der Scan fertig ist, bleibt die Zeile leer.
    Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
    Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
__________________


Alt 14.02.2011, 21:48   #3
Stabilo
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



Hallo, Vielen Dank für die Antwort.

Hier der Text aus der OTL.txt
Code:
ATTFilter
OTL logfile created on: 14.02.2011 21:39:17 - Run 1
OTL by OldTimer - Version 3.2.20.6     Folder = C:\Users\Heike\Downloads
 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,79 Gb Total Space | 184,48 Gb Free Space | 79,25% Space Free | Partition Type: NTFS
 
Computer Name: HEIKE-PC | User Name: Heike | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.02.14 21:38:33 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Users\Heike\Downloads\OTL.exe
PRC - [2010.12.22 17:52:24 | 001,496,528 | ---- | M] (TrueCrypt Foundation) -- C:\Programme\TrueCrypt\TrueCrypt.exe
PRC - [2010.12.13 08:39:27 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.12.13 08:39:19 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.12.13 08:39:19 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.05.21 00:52:06 | 011,312,128 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2010.05.21 00:52:04 | 011,318,784 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2010.02.18 11:43:20 | 000,490,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Common Files\Java\Java Update\jucheck.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.11.17 12:07:46 | 001,528,624 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
PRC - [2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.07.14 02:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2009.07.14 02:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009.07.14 02:14:24 | 000,157,184 | ---- | M] (Microsoft Corporation) -- c:\Programme\Windows Defender\MpCmdRun.exe
PRC - [2009.07.14 02:14:15 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.02.14 21:38:33 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Users\Heike\Downloads\OTL.exe
MOD - [2010.08.21 06:21:32 | 001,680,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll
MOD - [2009.07.14 02:16:15 | 000,099,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sspicli.dll
MOD - [2009.07.14 02:16:13 | 000,092,160 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sechost.dll
MOD - [2009.07.14 02:16:13 | 000,050,688 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\samcli.dll
MOD - [2009.07.14 02:16:12 | 000,031,744 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\profapi.dll
MOD - [2009.07.14 02:16:03 | 000,022,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\netutils.dll
MOD - [2009.07.14 02:15:35 | 000,288,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\KernelBase.dll
MOD - [2009.07.14 02:15:13 | 000,067,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\dwmapi.dll
MOD - [2009.07.14 02:15:11 | 000,064,512 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\devobj.dll
MOD - [2009.07.14 02:15:07 | 000,036,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cryptbase.dll
MOD - [2009.07.14 02:15:02 | 000,145,920 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cfgmgr32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010.12.13 08:39:27 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.12.13 08:39:19 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.02 05:36:16 | 000,801,792 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\FntCache.dll -- (FontCache)
SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.11.17 12:07:46 | 001,528,624 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2009.07.14 02:16:21 | 000,185,856 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\wwansvc.dll -- (WwanSvc)
SRV - [2009.07.14 02:16:17 | 000,151,552 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\wbiosrvc.dll -- (WbioSrvc)
SRV - [2009.07.14 02:16:17 | 000,119,808 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\umpo.dll -- (Power)
SRV - [2009.07.14 02:16:16 | 000,037,376 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\themeservice.dll -- (Themes)
SRV - [2009.07.14 02:16:15 | 000,053,760 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sppuinotify.dll -- (sppuinotify)
SRV - [2009.07.14 02:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 02:16:13 | 000,043,520 | ---- | M] (Microsoft Corporation) [Unknown | Running] -- C:\Windows\System32\RpcEpMap.dll -- (RpcEptMapper)
SRV - [2009.07.14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 02:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 02:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpsvc.dll -- (PNRPsvc)
SRV - [2009.07.14 02:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpsvc.dll -- (p2pimsvc)
SRV - [2009.07.14 02:16:12 | 000,165,376 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\provsvc.dll -- (HomeGroupProvider)
SRV - [2009.07.14 02:16:12 | 000,020,480 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpauto.dll -- (PNRPAutoReg)
SRV - [2009.07.14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009.07.14 02:15:36 | 000,194,560 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\ListSvc.dll -- (HomeGroupListener)
SRV - [2009.07.14 02:15:11 | 000,253,440 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\dhcpcore.dll -- (Dhcp)
SRV - [2009.07.14 02:15:10 | 000,218,624 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\defragsvc.dll -- (defragsvc)
SRV - [2009.07.14 02:14:59 | 000,076,800 | ---- | M] (Microsoft Corporation) [Unknown | Stopped] -- C:\Windows\System32\bdesvc.dll -- (BDESVC)
SRV - [2009.07.14 02:14:58 | 000,088,064 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\AxInstSv.dll -- (AxInstSV) ActiveX-Installer (AxInstSV)
SRV - [2009.07.14 02:14:53 | 000,027,648 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\appidsvc.dll -- (AppIDSvc)
SRV - [2009.07.14 02:14:29 | 003,179,520 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\sppsvc.exe -- (sppsvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.12.22 17:52:25 | 000,231,248 | ---- | M] (TrueCrypt Foundation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\truecrypt.sys -- (truecrypt)
DRV - [2010.12.13 08:39:39 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.12.13 08:39:38 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.17 14:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.12.11 08:44:02 | 000,133,720 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\ksecpkg.sys -- (KSecPkg)
DRV - [2009.11.17 12:07:06 | 000,308,859 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2009.07.14 02:26:21 | 000,015,952 | ---- | M] (CMD Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\cmdide.sys -- (cmdide)
DRV - [2009.07.14 02:26:17 | 000,297,552 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adpahci.sys -- (adpahci)
DRV - [2009.07.14 02:26:15 | 000,422,976 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adp94xx.sys -- (adp94xx)
DRV - [2009.07.14 02:26:15 | 000,159,312 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdsbs.sys -- (amdsbs)
DRV - [2009.07.14 02:26:15 | 000,146,512 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adpu320.sys -- (adpu320)
DRV - [2009.07.14 02:26:15 | 000,086,608 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\arcsas.sys -- (arcsas)
DRV - [2009.07.14 02:26:15 | 000,079,952 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdsata.sys -- (amdsata)
DRV - [2009.07.14 02:26:15 | 000,076,368 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\arc.sys -- (arc)
DRV - [2009.07.14 02:26:15 | 000,023,616 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\amdxata.sys -- (amdxata)
DRV - [2009.07.14 02:26:15 | 000,014,400 | ---- | M] (Acer Laboratories Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\aliide.sys -- (aliide)
DRV - [2009.07.14 02:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nvstor.sys -- (nvstor)
DRV - [2009.07.14 02:20:44 | 000,117,312 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nvraid.sys -- (nvraid)
DRV - [2009.07.14 02:20:44 | 000,044,624 | ---- | M] (IBM Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nfrd960.sys -- (nfrd960)
DRV - [2009.07.14 02:20:37 | 000,089,168 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_sas.sys -- (LSI_SAS)
DRV - [2009.07.14 02:20:36 | 000,332,352 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\iaStorV.sys -- (iaStorV)
DRV - [2009.07.14 02:20:36 | 000,235,584 | ---- | M] (LSI Corporation, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\MegaSR.sys -- (MegaSR)
DRV - [2009.07.14 02:20:36 | 000,096,848 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_scsi.sys -- (LSI_SCSI)
DRV - [2009.07.14 02:20:36 | 000,095,824 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_fc.sys -- (LSI_FC)
DRV - [2009.07.14 02:20:36 | 000,054,864 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_sas2.sys -- (LSI_SAS2)
DRV - [2009.07.14 02:20:36 | 000,041,040 | ---- | M] (Intel Corp./ICP vortex GmbH) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\iirsp.sys -- (iirsp)
DRV - [2009.07.14 02:20:36 | 000,030,800 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\megasas.sys -- (megasas)
DRV - [2009.07.14 02:20:36 | 000,013,904 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\hwpolicy.sys -- (hwpolicy)
DRV - [2009.07.14 02:20:28 | 000,453,712 | ---- | M] (Emulex) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\elxstor.sys -- (elxstor)
DRV - [2009.07.14 02:20:28 | 000,070,720 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\djsvs.sys -- (aic78xx)
DRV - [2009.07.14 02:20:28 | 000,067,152 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\HpSAMD.sys -- (HpSAMD)
DRV - [2009.07.14 02:20:28 | 000,046,160 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\fsdepends.sys -- (FsDepends)
DRV - [2009.07.14 02:19:11 | 000,141,904 | ---- | M] (VIA Technologies Inc.,Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vsmraid.sys -- (vsmraid)
DRV - [2009.07.14 02:19:10 | 000,175,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vmbus.sys -- (vmbus)
DRV - [2009.07.14 02:19:10 | 000,159,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vhdmp.sys -- (vhdmp)
DRV - [2009.07.14 02:19:10 | 000,040,896 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vmstorfl.sys -- (storflt)
DRV - [2009.07.14 02:19:10 | 000,032,832 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vdrvroot.sys -- (vdrvroot)
DRV - [2009.07.14 02:19:10 | 000,028,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\storvsc.sys -- (storvsc)
DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\wimmount.sys -- (WIMMount)
DRV - [2009.07.14 02:19:10 | 000,016,976 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\viaide.sys -- (viaide)
DRV - [2009.07.14 02:19:04 | 001,383,488 | ---- | M] (QLogic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ql2300.sys -- (ql2300)
DRV - [2009.07.14 02:19:04 | 000,173,648 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\rdyboost.sys -- (rdyboost)
DRV - [2009.07.14 02:19:04 | 000,106,064 | ---- | M] (QLogic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ql40xx.sys -- (ql40xx)
DRV - [2009.07.14 02:19:04 | 000,077,888 | ---- | M] (Silicon Integrated Systems) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\sisraid4.sys -- (SiSRaid4)
DRV - [2009.07.14 02:19:04 | 000,043,088 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\pcw.sys -- (pcw)
DRV - [2009.07.14 02:19:04 | 000,040,016 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\SiSRaid2.sys -- (SiSRaid2)
DRV - [2009.07.14 02:19:04 | 000,021,072 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\stexstor.sys -- (stexstor)
DRV - [2009.07.14 02:17:54 | 000,369,568 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\cng.sys -- (CNG)
DRV - [2009.07.14 01:57:25 | 000,272,128 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\Brserid.sys -- (Brserid) Brother MFC Serial Port Interface Driver (WDM)
DRV - [2009.07.14 01:02:41 | 000,018,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rdpbus.sys -- (rdpbus)
DRV - [2009.07.14 01:01:41 | 000,007,168 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\RDPREFMP.sys -- (RDPREFMP)
DRV - [2009.07.14 00:55:00 | 000,049,152 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\agilevpn.sys -- (RasAgileVpn) WAN Miniport (IKEv2)
DRV - [2009.07.14 00:53:51 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\wfplwf.sys -- (WfpLwf)
DRV - [2009.07.14 00:52:44 | 000,027,136 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ndiscap.sys -- (NdisCap)
DRV - [2009.07.14 00:52:02 | 000,019,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vwifibus.sys -- (vwifibus)
DRV - [2009.07.14 00:52:00 | 000,163,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\1394ohci.sys -- (1394ohci)
DRV - [2009.07.14 00:51:35 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\umpass.sys -- (UmPass)
DRV - [2009.07.14 00:51:08 | 000,004,096 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mshidkmdf.sys -- (mshidkmdf)
DRV - [2009.07.14 00:46:55 | 000,012,288 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\MTConfig.sys -- (MTConfig)
DRV - [2009.07.14 00:45:26 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CompositeBus.sys -- (CompositeBus)
DRV - [2009.07.14 00:36:52 | 000,050,176 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\appid.sys -- (AppID)
DRV - [2009.07.14 00:33:50 | 000,026,624 | ---- | M] (Microsoft Corporation) [Kernel | Unknown | Stopped] -- C:\Windows\System32\drivers\scfilter.sys -- (scfilter)
DRV - [2009.07.14 00:28:47 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vms3cap.sys -- (s3cap)
DRV - [2009.07.14 00:28:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\VMBusHID.sys -- (VMBusHID)
DRV - [2009.07.14 00:24:05 | 000,032,256 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\discache.sys -- (discache)
DRV - [2009.07.14 00:16:36 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\acpipmi.sys -- (AcpiPmi)
DRV - [2009.07.14 00:11:04 | 000,052,736 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdppm.sys -- (AmdPPM)
DRV - [2009.07.13 23:54:14 | 000,026,624 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\hcw85cir.sys -- (hcw85cir)
DRV - [2009.07.13 23:53:33 | 000,012,160 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrUsbMdm.sys -- (BrUsbMdm)
DRV - [2009.07.13 23:53:33 | 000,011,904 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrUsbSer.sys -- (BrUsbSer)
DRV - [2009.07.13 23:53:32 | 000,062,336 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrSerWdm.sys -- (BrSerWdm)
DRV - [2009.07.13 23:53:28 | 000,013,568 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\BrFiltLo.sys -- (BrFiltLo)
DRV - [2009.07.13 23:53:28 | 000,005,248 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\BrFiltUp.sys -- (BrFiltUp)
DRV - [2009.07.13 23:09:17 | 004,194,816 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2009.07.13 23:02:52 | 000,139,776 | ---- | M] (Realtek Corporation                                            ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rt86win7.sys -- (RTL8167)
DRV - [2009.07.13 23:02:49 | 000,229,888 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\b57nd60x.sys -- (b57nd60x)
DRV - [2009.07.13 23:02:48 | 003,100,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\evbdx.sys -- (ebdrv)
DRV - [2009.07.13 23:02:48 | 000,430,080 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\bxvbdx.sys -- (b06bdrv)
DRV - [2008.11.16 18:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\dne2000.sys -- (DNE)
DRV - [2007.01.18 20:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CVirtA.sys -- (CVirtA)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 1B DA F6 F3 E9 A1 CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://start.ffpimp.com"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {B17C1C5A-04B1-11DB-9804-B622A1EF5492}:1.2.1
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.0.9.7
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.0.7
FF - prefs.js..keyword.URL: "hxxp://bing.zugotoolbar.com/s/?site=Bing&pid=87&q="
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.12.23 21:31:52 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.12.24 21:29:51 | 000,000,000 | ---D | M]
 
[2010.12.23 21:32:10 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Heike\AppData\Roaming\mozilla\Extensions
[2011.02.14 20:14:37 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions
[2011.02.03 13:10:21 | 000,000,000 | ---D | M] (NoScript) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.12.23 21:48:40 | 000,000,000 | ---D | M] (Password Exporter) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions\{B17C1C5A-04B1-11DB-9804-B622A1EF5492}
[2010.12.23 21:48:40 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.02.13 14:20:40 | 000,000,000 | ---D | M] (Download Youtube Videos +) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions\video.downloader.plugin@ffpimp.com
[2011.02.13 15:54:42 | 000,000,000 | ---D | M] (YouTube to MP3) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions\youtube2mp3@mondayx.de
[2011.02.13 14:22:07 | 000,005,044 | ---- | M] () -- C:\Users\Heike\AppData\Roaming\Mozilla\Firefox\Profiles\o5x37eh7.default\searchplugins\search.xml
[2010.12.24 21:29:53 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.12.24 21:29:53 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.12.24 21:29:53 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.12.24 21:29:41 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.12.03 19:14:08 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.12.03 19:14:08 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.12.03 19:14:08 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.12.03 19:14:08 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.12.03 19:14:08 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKCU..\Run: [TrueCrypt] C:\Program Files\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation)
O4 - Startup: C:\Users\Heike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll (Google Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
NetSvcs: Themes - C:\Windows\System32\themeservice.dll (Microsoft Corporation)
NetSvcs: BDESVC - C:\Windows\System32\bdesvc.dll (Microsoft Corporation)
 
Drivers32: aux - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux1 - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\Windows\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.imaadpcm - C:\Windows\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\Windows\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\Windows\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\Windows\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.i420 - C:\Windows\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.iyuv - C:\Windows\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.mrle - C:\Windows\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\Windows\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\Windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yuy2 - C:\Windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvu9 - C:\Windows\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\Windows\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\Windows\System32\msacm32.drv (Microsoft Corporation)

 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.13 21:10:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
[2011.02.13 21:10:52 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2011.02.13 17:08:53 | 000,000,000 | ---D | C] -- C:\Windows\Sun
[2011.02.13 16:01:20 | 000,000,000 | ---D | C] -- C:\Users\Heike\Desktop\youtube
[2011.02.13 15:52:15 | 000,000,000 | ---D | C] -- C:\Users\Heike\AppData\Roaming\Publish Providers
[2011.02.13 15:48:57 | 000,000,000 | ---D | C] -- C:\Users\Heike\AppData\Roaming\Avira
[2011.02.13 15:46:31 | 000,000,000 | ---D | C] -- C:\Users\Heike\AppData\Local\Sony
[2011.02.13 15:46:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony
[2011.02.13 15:45:37 | 000,000,000 | ---D | C] -- C:\Programme\Sony
[2011.02.13 15:45:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Sony
[2011.02.13 15:45:04 | 000,000,000 | ---D | C] -- C:\Users\Heike\AppData\Roaming\Sony
[2011.02.13 15:34:39 | 000,000,000 | ---D | C] -- C:\Users\Heike\Desktop\Videos
[2011.02.04 21:58:33 | 000,000,000 | ---D | C] -- C:\Users\Heike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start
[2011.02.04 21:58:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Start
[2011.01.19 19:39:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RuckZuck
[2011.01.19 19:39:10 | 000,000,000 | ---D | C] -- C:\Programme\Mursoft
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.14 21:31:50 | 000,000,246 | -H-- | M] () -- C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011.02.14 21:21:01 | 000,000,286 | -H-- | M] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011.02.14 20:52:02 | 000,000,286 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011.02.14 20:45:00 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.02.14 20:09:09 | 000,014,752 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.02.14 20:09:09 | 000,014,752 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.02.14 20:06:31 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.02.14 20:06:31 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.02.14 20:06:31 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.02.14 20:06:31 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.02.14 20:02:02 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.02.14 20:01:51 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.02.14 20:01:46 | 1508,741,120 | -HS- | M] () -- C:\hiberfil.sys
[2011.02.13 21:39:17 | 000,001,682 | ---- | M] () -- C:\Users\Heike\Documents\cc_20110213_213912.reg
[2011.02.13 21:13:33 | 000,000,206 | ---- | M] () -- C:\Users\Heike\Documents\cc_20110213_211329.reg
[2011.02.13 21:13:01 | 000,013,840 | ---- | M] () -- C:\Users\Heike\Documents\cc_20110213_211254.reg
[2011.02.13 21:10:53 | 000,000,969 | ---- | M] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2011.02.13 15:48:28 | 000,218,624 | ---- | M] () -- C:\Windows\Qnunia.exe
[2011.02.13 14:18:12 | 000,055,401 | ---- | M] () -- C:\Users\Heike\Desktop\header.jpg
[2011.02.12 18:06:02 | 000,017,521 | ---- | M] () -- C:\Users\Heike\Desktop\BEWERBUNG + LEBENSLAUF.odt
[2011.02.11 23:10:11 | 000,289,720 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2011.02.04 19:53:13 | 000,061,965 | ---- | M] () -- C:\Users\Heike\Desktop\wolf.png
[2011.02.04 19:21:07 | 000,020,480 | ---- | M] () -- C:\Users\Heike\Desktop\Rechenteil.doc
[2011.02.04 19:21:04 | 000,019,968 | ---- | M] () -- C:\Users\Heike\Desktop\Fragenteil.doc
[2011.02.04 19:19:48 | 000,407,750 | ---- | M] () -- C:\Users\Heike\Desktop\Rechenteil.jpg
[2011.02.04 19:19:21 | 000,379,156 | ---- | M] () -- C:\Users\Heike\Desktop\Fragenteil.jpg
[2011.02.03 17:29:02 | 000,507,784 | ---- | M] () -- C:\Users\Heike\Desktop\img003.jpg
[2011.02.03 17:24:01 | 000,209,444 | ---- | M] () -- C:\Users\Heike\Desktop\img002.jpg
[2011.02.03 17:22:10 | 000,585,004 | ---- | M] () -- C:\Users\Heike\Desktop\img001.jpg
[2011.02.03 13:59:51 | 000,087,904 | ---- | M] () -- C:\Users\Heike\Desktop\ulb_kalender_2011.pdf
[2011.02.03 13:25:25 | 000,025,397 | ---- | M] () -- C:\Users\Heike\Desktop\rammbär.gif
[2011.01.30 15:54:11 | 000,000,432 | ---- | M] () -- C:\Windows\BRWMARK.INI
[2011.01.23 21:07:58 | 000,053,984 | ---- | M] () -- C:\Users\Heike\Desktop\ich2.jpg
[2011.01.22 22:41:48 | 000,059,058 | ---- | M] () -- C:\Users\Heike\Desktop\whw_2.jpg
[2011.01.22 22:41:32 | 000,057,653 | ---- | M] () -- C:\Users\Heike\Desktop\WHW.jpg
[2011.01.20 20:31:44 | 000,341,526 | ---- | M] () -- C:\Users\Heike\Desktop\streng_geheime_arbeit_dsc00672.jpg
[2011.01.19 19:38:56 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2011.01.19 19:38:56 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2011.01.19 17:44:44 | 000,164,988 | ---- | M] () -- C:\Users\Heike\Desktop\berlin_europa_center_wasseruhr.jpg
 
========== Files Created - No Company Name ==========
 
[2011.02.13 21:39:15 | 000,001,682 | ---- | C] () -- C:\Users\Heike\Documents\cc_20110213_213912.reg
[2011.02.13 21:13:31 | 000,000,206 | ---- | C] () -- C:\Users\Heike\Documents\cc_20110213_211329.reg
[2011.02.13 21:12:58 | 000,013,840 | ---- | C] () -- C:\Users\Heike\Documents\cc_20110213_211254.reg
[2011.02.13 21:10:53 | 000,000,969 | ---- | C] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2011.02.13 15:48:42 | 000,000,286 | -H-- | C] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011.02.13 15:48:36 | 000,000,286 | -H-- | C] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011.02.13 15:48:35 | 000,218,624 | ---- | C] () -- C:\Windows\Qnunia.exe
[2011.02.13 15:48:31 | 000,000,246 | -H-- | C] () -- C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011.02.13 14:18:11 | 000,055,401 | ---- | C] () -- C:\Users\Heike\Desktop\header.jpg
[2011.02.04 19:53:12 | 000,061,965 | ---- | C] () -- C:\Users\Heike\Desktop\wolf.png
[2011.02.04 19:21:05 | 000,020,480 | ---- | C] () -- C:\Users\Heike\Desktop\Rechenteil.doc
[2011.02.04 19:21:02 | 000,019,968 | ---- | C] () -- C:\Users\Heike\Desktop\Fragenteil.doc
[2011.02.04 19:19:26 | 000,407,750 | ---- | C] () -- C:\Users\Heike\Desktop\Rechenteil.jpg
[2011.02.04 19:19:01 | 000,379,156 | ---- | C] () -- C:\Users\Heike\Desktop\Fragenteil.jpg
[2011.02.03 17:28:34 | 000,507,784 | ---- | C] () -- C:\Users\Heike\Desktop\img003.jpg
[2011.02.03 17:23:50 | 000,209,444 | ---- | C] () -- C:\Users\Heike\Desktop\img002.jpg
[2011.02.03 17:21:34 | 000,585,004 | ---- | C] () -- C:\Users\Heike\Desktop\img001.jpg
[2011.02.03 13:59:51 | 000,087,904 | ---- | C] () -- C:\Users\Heike\Desktop\ulb_kalender_2011.pdf
[2011.02.03 13:25:24 | 000,025,397 | ---- | C] () -- C:\Users\Heike\Desktop\rammbär.gif
[2011.01.24 20:31:18 | 000,017,521 | ---- | C] () -- C:\Users\Heike\Desktop\BEWERBUNG + LEBENSLAUF.odt
[2011.01.23 21:05:44 | 000,053,984 | ---- | C] () -- C:\Users\Heike\Desktop\ich2.jpg
[2011.01.22 22:41:47 | 000,059,058 | ---- | C] () -- C:\Users\Heike\Desktop\whw_2.jpg
[2011.01.22 22:41:31 | 000,057,653 | ---- | C] () -- C:\Users\Heike\Desktop\WHW.jpg
[2011.01.20 20:31:43 | 000,341,526 | ---- | C] () -- C:\Users\Heike\Desktop\streng_geheime_arbeit_dsc00672.jpg
[2011.01.19 19:38:56 | 000,000,000 | RHS- | C] () -- C:\MSDOS.SYS
[2011.01.19 19:38:56 | 000,000,000 | RHS- | C] () -- C:\IO.SYS
[2011.01.19 17:44:44 | 000,164,988 | ---- | C] () -- C:\Users\Heike\Desktop\berlin_europa_center_wasseruhr.jpg
[2010.12.26 21:00:39 | 000,000,432 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2009.11.17 12:08:34 | 000,197,424 | ---- | C] () -- C:\Windows\System32\vpnapi.dll
[2009.07.14 00:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
 
========== LOP Check ==========
 
[2011.02.14 21:39:14 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\.purple
[2011.02.04 19:20:52 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\gtk-2.0
[2011.01.03 20:40:15 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\KeePass
[2010.12.24 21:33:49 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\OpenOffice.org
[2011.02.13 15:52:15 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\Publish Providers
[2011.02.13 15:52:11 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\Sony
[2010.12.22 18:05:39 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\TrueCrypt
[2009.07.14 05:53:46 | 000,016,756 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2011.02.14 20:52:02 | 000,000,286 | -H-- | M] () -- C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011.02.14 21:31:50 | 000,000,246 | -H-- | M] () -- C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011.02.14 21:21:01 | 000,000,286 | -H-- | M] () -- C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2009.06.10 22:42:20 | 000,000,024 | ---- | M] () -- C:\autoexec.bat
[2009.06.10 22:42:20 | 000,000,010 | ---- | M] () -- C:\config.sys
[2011.02.14 20:01:46 | 1508,741,120 | -HS- | M] () -- C:\hiberfil.sys
[2011.01.19 19:38:56 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2011.01.19 19:38:56 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2011.02.14 20:01:49 | 2011,656,192 | -HS- | M] () -- C:\pagefile.sys
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2009.07.14 05:52:25 | 000,026,040 | ---- | M] () -- C:\Windows\Fonts\GlobalMonospace.CompositeFont
[2009.07.14 05:52:25 | 000,026,489 | ---- | M] () -- C:\Windows\Fonts\GlobalSansSerif.CompositeFont
[2009.07.14 05:52:25 | 000,029,779 | ---- | M] () -- C:\Windows\Fonts\GlobalSerif.CompositeFont
[2009.07.14 05:52:25 | 000,043,318 | ---- | M] () -- C:\Windows\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2009.06.10 22:31:19 | 000,000,065 | ---- | M] () -- C:\Windows\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2009.07.14 02:15:35 | 000,022,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\jnwppr.dll
[2009.07.14 02:16:19 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\winprint.dll
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
[2009.07.14 05:41:57 | 000,000,174 | -HS- | M] () -- C:\Programme\desktop.ini
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
 
< %systemroot%\system32\user32.dll /md5 >
[2009.07.14 02:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\System32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2009.07.14 02:16:20 | 000,206,336 | ---- | M] (Microsoft Corporation) MD5=DAAE8A9B8C0ACC7F858454132553C30D -- C:\Windows\System32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2009.07.14 02:11:26 | 000,004,608 | ---- | M] (Microsoft Corporation) MD5=808AABDF9337312195CAFF76D1804786 -- C:\Windows\System32\ws2help.dll
 
 
< MD5 for: EXPLORER.EXE  >
[2009.07.14 02:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe
[2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe
[2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe
[2009.08.03 06:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe
[2009.08.03 06:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe
[2009.10.31 07:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
 
< MD5 for: WININIT.EXE  >
[2009.07.14 02:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe
[2009.07.14 02:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009.10.28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe
[2009.10.28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe
[2009.10.28 06:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe
[2009.07.14 02:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-02-11 12:55:00
 
<           >

< End of report >
         


Hier der Text aus der Extra.txt
Code:
ATTFilter
OTL Extras logfile created on: 14.02.2011 21:39:17 - Run 1
OTL by OldTimer - Version 3.2.20.6     Folder = C:\Users\Heike\Downloads
 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 232,79 Gb Total Space | 184,48 Gb Free Space | 79,25% Space Free | Partition Type: NTFS
 
Computer Name: HEIKE-PC | User Name: Heike | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}" = Cisco Systems VPN Client 5.0.06.0160
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6E0E4D61-11EC-11E0-B454-0013D3D69929}" = Vegas Pro 10.0
"{7032B400-11EC-11E0-A9BF-0013D3D69929}" = MSVCRT Redists
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch
"{DFFC0648-BC4B-47D1-93D2-6CA6B9457641}" = OpenOffice.org 3.2
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"InfoRapid Suchen & Ersetzen" = InfoRapid Suchen & Ersetzen
"KeePass Password Safe_is1" = KeePass Password Safe 1.18
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Pidgin" = Pidgin
"pidgin-otr" = pidgin-otr 3.2.0-1
"TrueCrypt" = TrueCrypt
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110
Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.
 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle
 konnte nicht aufgebaut werden.  
 
Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110
Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.
 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle
 konnte nicht aufgebaut werden.  
 
Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110
Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.
 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle
 konnte nicht aufgebaut werden.  
 
Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110
Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.
 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle
 konnte nicht aufgebaut werden.  
 
Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110
Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.
 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle
 konnte nicht aufgebaut werden.  
 
Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110
Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.
 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle
 konnte nicht aufgebaut werden.  
 
Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110
Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.
 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle
 konnte nicht aufgebaut werden.  
 
Error - 13.02.2011 12:35:59 | Computer Name = Heike-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Qnunia.exe, Version: 0.0.0.0, Zeitstempel:
 0x4d55393a  Name des fehlerhaften Moduls: MSVCR71.dll, Version: 7.10.3052.4, Zeitstempel:
 0x3e561eac  Ausnahmecode: 0xc0000005  Fehleroffset: 0x00032e3f  ID des fehlerhaften Prozesses:
 0xe24  Startzeit der fehlerhaften Anwendung: 0x01cbcb9373955cc1  Pfad der fehlerhaften
 Anwendung: C:\Windows\Qnunia.exe  Pfad des fehlerhaften Moduls: C:\Program Files\Java\jre6\bin\MSVCR71.dll
Berichtskennung:
 56329fb0-378f-11e0-bf39-001fd0d4585b
 
Error - 13.02.2011 14:21:14 | Computer Name = Heike-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Ql3.exe, Version: 0.0.0.0, Zeitstempel:
 0x4d53e16f  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel:
 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0057d4a8  ID des fehlerhaften Prozesses:
 0x135c  Startzeit der fehlerhaften Anwendung: 0x01cbcba9ed456983  Pfad der fehlerhaften
 Anwendung: C:\Users\Heike\AppData\Local\Temp\Ql3.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 0a18d955-379e-11e0-bf39-001fd0d4585b
 
Error - 14.02.2011 16:31:42 | Computer Name = Heike-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Qnunia.exe, Version: 0.0.0.0, Zeitstempel:
 0x4d55393a  Name des fehlerhaften Moduls: MSVCR71.dll, Version: 7.10.3052.4, Zeitstempel:
 0x3e561eac  Ausnahmecode: 0xc0000005  Fehleroffset: 0x00032e3f  ID des fehlerhaften Prozesses:
 0x754  Startzeit der fehlerhaften Anwendung: 0x01cbcc79a6323462  Pfad der fehlerhaften
 Anwendung: C:\Windows\Qnunia.exe  Pfad des fehlerhaften Moduls: C:\Program Files\Java\jre6\bin\MSVCR71.dll
Berichtskennung:
 6e69be4c-3879-11e0-9ced-001fd0d4585b
 
[ System Events ]
Error - 19.01.2011 11:19:35 | Computer Name = Heike-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst lmhosts erreicht.
 
Error - 22.01.2011 05:53:37 | Computer Name = Heike-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst lmhosts erreicht.
 
Error - 23.01.2011 16:02:11 | Computer Name = Heike-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?23.?01.?2011 um 21:00:11 unerwartet heruntergefahren.
 
Error - 29.01.2011 19:16:15 | Computer Name = Heike-PC | Source = Service Control Manager | ID = 7038
Description = Der Dienst "upnphost" konnte sich nicht als "NT AUTHORITY\LocalService"
 mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden:   %%1352    Vergewissern
 Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft
 Management Console (MMC).
 
Error - 29.01.2011 19:16:15 | Computer Name = Heike-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "UPnP-Gerätehost" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%1069
 
Error - 29.01.2011 19:16:15 | Computer Name = Heike-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 04.02.2011 17:36:59 | Computer Name = Heike-PC | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst lmhosts erreicht.
 
Error - 13.02.2011 10:45:32 | Computer Name = Heike-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden.
 
Error - 13.02.2011 10:45:33 | Computer Name = Heike-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden.
 
Error - 13.02.2011 10:45:34 | Computer Name = Heike-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden.
 
 
< End of report >
         
__________________

Alt 14.02.2011, 21:54   #4
Swisstreasure
/// Malwareteam
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



Nun noch das GMER Log

Alt 14.02.2011, 22:01   #5
Stabilo
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



So schnell kann ich auch nicht, aber hier ist es:

Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-02-14 21:58:37
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-5 WDC_WD2500AAJS-22B4A0 rev.01.03A01
Running: 9uy79zb8.exe; Driver: C:\Users\Heike\AppData\Local\Temp\uglcipoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD           82844589 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2    82869092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           C:\Windows\system32\DRIVERS\atikmdag.sys  section is writeable [0x8D82C000, 0x227A14, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004a         halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                     sector 63: rootkit-like behavior; 
Disk            \Device\Harddisk0\DR0                     sectors 488394799 (+255): rootkit-like behavior; 

---- EOF - GMER 1.0.15 ----
         


Alt 14.02.2011, 22:15   #6
Swisstreasure
/// Malwareteam
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**



  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Alt 14.02.2011, 22:46   #7
Stabilo
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



So,
habe alles wie beschrieben ausgeführt:

Code:
ATTFilter
ComboFix 11-02-13.04 - Heike 14.02.2011  22:26:21.1.2 - x86
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.1918.994 [GMT 1:00]
ausgeführt von:: c:\users\Heike\Downloads\Combo-Fix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\Desktop

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-14 bis 2011-02-14  ))))))))))))))))))))))))))))))
.

2011-02-14 21:28 . 2011-02-14 21:28	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-02-13 20:10 . 2011-02-13 20:10	--------	d-----w-	c:\program files\CCleaner
2011-02-13 16:08 . 2011-02-13 16:08	--------	d-----w-	c:\windows\Sun
2011-02-13 14:52 . 2011-02-13 14:52	--------	d-----w-	c:\users\Heike\AppData\Roaming\Publish Providers
2011-02-13 14:48 . 2011-02-13 14:48	--------	d-----w-	c:\users\Heike\AppData\Roaming\Avira
2011-02-13 14:48 . 2011-02-13 14:48	218624	----a-w-	c:\windows\Qnunia.exe
2011-02-13 14:46 . 2011-02-13 14:46	--------	d-----w-	c:\users\Heike\AppData\Local\Sony
2011-02-13 14:45 . 2011-02-13 14:45	--------	d-----w-	c:\programdata\Sony
2011-02-13 14:45 . 2011-02-13 14:45	--------	d-----w-	c:\program files\Sony
2011-02-13 14:45 . 2011-02-13 14:52	--------	d-----w-	c:\users\Heike\AppData\Roaming\Sony
2011-02-11 11:08 . 2010-12-21 05:38	350720	----a-w-	c:\windows\system32\winhttp.dll
2011-02-11 11:08 . 2010-12-21 05:38	204800	----a-w-	c:\windows\system32\WebClnt.dll
2011-02-11 11:08 . 2010-12-21 05:36	1236992	----a-w-	c:\windows\system32\msxml3.dll
2011-02-11 11:08 . 2010-12-21 05:34	80384	----a-w-	c:\windows\system32\davclnt.dll
2011-02-11 11:08 . 2010-12-21 05:38	73728	----a-w-	c:\windows\system32\wscsvc.dll
2011-02-11 11:08 . 2010-12-21 05:38	51200	----a-w-	c:\windows\system32\wscapi.dll
2011-02-11 11:08 . 2010-12-21 05:38	14336	----a-w-	c:\windows\system32\slwga.dll
2011-02-11 11:08 . 2011-02-03 05:45	219008	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2011-02-11 11:07 . 2011-01-13 09:41	5890896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{EE65BA20-29C8-4814-8A8C-E0D9FC2CBB27}\mpengine.dll
2011-02-04 20:58 . 2000-08-30 13:28	77824	----a-w-	c:\windows\system32\ODBCTL32.dll
2011-02-04 20:58 . 2000-08-30 13:28	251664	----a-w-	c:\windows\system32\MSRD2x35.dll
2011-01-19 18:39 . 2011-01-19 18:39	--------	d-----w-	c:\program files\Mursoft
2011-01-19 18:39 . 2000-08-30 13:28	430080	----a-w-	c:\windows\system32\MsRepl35.dll
2011-01-19 18:39 . 2000-08-30 13:28	24336	----a-w-	c:\windows\system32\MSJtEr35.dll
2011-01-19 18:39 . 2000-08-30 13:28	145168	----a-w-	c:\windows\system32\MSJInt35.dll
2011-01-19 18:39 . 2000-08-30 13:28	1056768	----a-w-	c:\windows\system32\MSJet35.dll
2011-01-19 18:39 . 1996-12-02 17:44	582144	----a-w-	c:\program files\Common Files\Microsoft Shared\DAO\dao350.dll
2011-01-19 18:39 . 1996-11-08 01:48	368912	----a-w-	c:\windows\system32\vbar332.dll
2011-01-19 18:39 . 1998-01-23 11:20	305664	----a-w-	c:\windows\IsUn0407.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-24 20:29 . 2010-12-24 20:29	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-12-22 16:52 . 2010-12-22 16:52	231248	----a-w-	c:\windows\system32\drivers\truecrypt.sys
2010-12-13 07:39 . 2010-12-27 12:01	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-13 07:39 . 2010-12-27 12:01	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueCrypt"="c:\program files\TrueCrypt\TrueCrypt.exe" [2010-12-22 1496528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]

c:\users\Heike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
VPN Client.lnk - c:\windows\Installer\{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}\Icon3E5562ED7.ico [2010-12-26 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-12-22 136176]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-12-13 135336]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]


--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - UGLCIPOC
*Deregistered* - uglcipoc
.
Inhalt des "geplante Tasks" Ordners

2011-02-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-22 16:35]

2011-02-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-22 16:35]

2011-02-14 c:\windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
- c:\windows\Qnunia.exe [2011-02-13 14:48]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
FF - ProfilePath - c:\users\Heike\AppData\Roaming\Mozilla\Firefox\Profiles\o5x37eh7.default\
FF - prefs.js: browser.startup.homepage - hxxp://start.ffpimp.com
FF - prefs.js: keyword.URL - hxxp://bing.zugotoolbar.com/s/?site=Bing&pid=87&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Password Exporter: {B17C1C5A-04B1-11DB-9804-B622A1EF5492} - %profile%\extensions\{B17C1C5A-04B1-11DB-9804-B622A1EF5492}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
FF - Ext: YouTube to MP3: youtube2mp3@mondayx.de - %profile%\extensions\youtube2mp3@mondayx.de
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-02-14  22:30:21
ComboFix-quarantined-files.txt  2011-02-14 21:30

Vor Suchlauf: 5 Verzeichnis(se), 197.946.224.640 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 197.918.027.776 Bytes frei

- - End Of File - - 0B02B8C03AD088DF1DBE32F4ABD00737
         

Alt 15.02.2011, 10:59   #8
Swisstreasure
/// Malwareteam
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



Schritt 1

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)
  • Downloade die MBR.exe von Gmer und
    kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
    Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  • Start => ausführen => cmd (da reinschreiben) => OK
    es öffnet sich eine Eingabeaufforderung.

    Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
    Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

    Code:
    ATTFilter
    mbr.exe -t > C:\mbr.log & C:\mbr.log
             
    (Enter drücken)
  • Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
    Bitte kopiere den Inhalt hier in Deinen Thread.

Schritt 2

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

Alt 15.02.2011, 12:36   #9
Stabilo
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



Hallo, habe alles wie beschrieben in den System32-Ordner kopiert, wollte das gerade über ausführen mit mbr machen, bekomme aber immer eine Fehlermeldung:

Zitat:
Zugriff wurde verweigert.
Der Befehl ist entwerder falsch oder konnte nicht gefunden werden.
Was soll ich tun?

Alt 15.02.2011, 12:41   #10
Stabilo
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



Hier aber schonmal der Inhalt aus der anderen Datei:

Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows 7 Professional
Windows Information:		 (build 7600), 32-bit
Base Board Manufacturer:	Gigabyte Technology Co., Ltd.
BIOS Manufacturer:		Award Software International, Inc.
System Manufacturer:		Gigabyte Technology Co., Ltd.
System Product Name:		GA-MA74GM-S2H
Logical Drives Mask:		0x0000000d

Kernel Drivers (total 187):
  0x82809000 \SystemRoot\system32\ntkrnlpa.exe
  0x82C19000 \SystemRoot\system32\halmacpi.dll
  0x80BB6000 \SystemRoot\system32\kdcom.dll
  0x82E1E000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
  0x82E29000 \SystemRoot\system32\PSHED.dll
  0x82E3A000 \SystemRoot\system32\BOOTVID.dll
  0x82E42000 \SystemRoot\system32\CLFS.SYS
  0x82E84000 \SystemRoot\system32\CI.dll
  0x82F2F000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x82FA0000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x82FAE000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x82FF6000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
  0x82E00000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x8802C000 \SystemRoot\system32\DRIVERS\pci.sys
  0x88056000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x88061000 \SystemRoot\System32\drivers\partmgr.sys
  0x88072000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x88082000 \SystemRoot\System32\drivers\volmgrx.sys
  0x880CD000 \SystemRoot\system32\DRIVERS\pciide.sys
  0x880D4000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x880E2000 \SystemRoot\System32\drivers\mountmgr.sys
  0x880F8000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x88101000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x88124000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x8812D000 \SystemRoot\system32\drivers\fltmgr.sys
  0x88161000 \SystemRoot\system32\drivers\fileinfo.sys
  0x88172000 \SystemRoot\System32\drivers\truecrypt.sys
  0x88207000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x88336000 \SystemRoot\System32\Drivers\msrpc.sys
  0x88361000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x88374000 \SystemRoot\System32\Drivers\cng.sys
  0x883D1000 \SystemRoot\System32\drivers\pcw.sys
  0x883DF000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x8843B000 \SystemRoot\system32\drivers\ndis.sys
  0x884F2000 \SystemRoot\system32\drivers\NETIO.SYS
  0x88530000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x8861D000 \SystemRoot\System32\drivers\tcpip.sys
  0x88766000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x88797000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
  0x887A0000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x887DF000 \SystemRoot\System32\Drivers\spldr.sys
  0x88555000 \SystemRoot\System32\drivers\rdyboost.sys
  0x887E7000 \SystemRoot\System32\Drivers\mup.sys
  0x887F7000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x88582000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x88600000 \SystemRoot\system32\DRIVERS\disk.sys
  0x885B4000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x881A9000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x883E8000 \SystemRoot\System32\Drivers\Null.SYS
  0x883EF000 \SystemRoot\System32\Drivers\Beep.SYS
  0x881C8000 \SystemRoot\System32\drivers\vga.sys
  0x881D4000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x88000000 \SystemRoot\System32\drivers\watchdog.sys
  0x883F6000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8800D000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x88015000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x8801D000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x82E08000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8CC02000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x8CC19000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8CC24000 \SystemRoot\system32\drivers\afd.sys
  0x8CC7E000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x8CCB0000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x8CCB7000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x8CCD6000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x8CCE4000 \SystemRoot\system32\DRIVERS\serial.sys
  0x8CCFE000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x8CD11000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x8CD21000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x8CD27000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x8CD68000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x8CD72000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x8CD7C000 \SystemRoot\System32\drivers\discache.sys
  0x8CD88000 \SystemRoot\system32\drivers\csc.sys
  0x8D201000 \SystemRoot\System32\Drivers\dfsc.sys
  0x8D219000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x8D227000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x8D24D000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x8D26E000 \SystemRoot\system32\DRIVERS\amdk8.sys
  0x8D826000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x8DC7A000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x8DD31000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x8DD6A000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x8DD89000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
  0x8DDAE000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x8D280000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x8DDB8000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x8DDC7000 \SystemRoot\system32\DRIVERS\fdc.sys
  0x8DDD2000 \SystemRoot\system32\DRIVERS\serenum.sys
  0x8DDDC000 \SystemRoot\system32\DRIVERS\parport.sys
  0x8D800000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x8D818000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x8D2CB000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x8D2D8000 \SystemRoot\system32\DRIVERS\dne2000.sys
  0x8D2F7000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x8D309000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x8DDF4000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x8D321000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x8D343000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x8D35B000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x8D372000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x8D389000 \SystemRoot\system32\DRIVERS\rdpbus.sys
  0x8D393000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x8D3A0000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x8D3A2000 \SystemRoot\system32\DRIVERS\ks.sys
  0x8D3D6000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x9143F000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x91483000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0x9148D000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x9149E000 \SystemRoot\system32\drivers\HdAudio.sys
  0x914EE000 \SystemRoot\system32\drivers\portcls.sys
  0x9151D000 \SystemRoot\system32\drivers\drmk.sys
  0x932A0000 \SystemRoot\System32\win32k.sys
  0x91536000 \SystemRoot\System32\drivers\Dxapi.sys
  0x91540000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x9154D000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x91558000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x91561000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x91572000 \SystemRoot\System32\Drivers\dump_truecrypt.sys
  0x915A9000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x915B4000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x915C7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x915CE000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x915D0000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x915DB000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x93500000 \SystemRoot\System32\TSDDD.dll
  0x915E6000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0x91400000 \SystemRoot\system32\drivers\luafv.sys
  0x9141B000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x8D3E4000 \SystemRoot\system32\drivers\WudfPf.sys
  0x8CDEC000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x885D9000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x82022000 \SystemRoot\system32\drivers\HTTP.sys
  0x820A7000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x820C0000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x820D2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x820F5000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x82130000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x8214B000 \SystemRoot\system32\DRIVERS\parvdm.sys
  0x82152000 \??\C:\Windows\system32\Drivers\CVPNDRVA.sys
  0x98409000 \SystemRoot\system32\drivers\peauth.sys
  0x984A0000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x984AA000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x984CB000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x984D8000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x98527000 \SystemRoot\System32\DRIVERS\srv.sys
  0x985E2000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0x93200000 \SystemRoot\System32\cdd.dll
  0x771C0000 \Windows\System32\ntdll.dll
  0x47E90000 \Windows\System32\smss.exe
  0x77400000 \Windows\System32\apisetschema.dll
  0x00AB0000 \Windows\System32\autochk.exe
  0x77390000 \Windows\System32\difxapi.dll
  0x77120000 \Windows\System32\usp10.dll
  0x76F80000 \Windows\System32\setupapi.dll
  0x77330000 \Windows\System32\shlwapi.dll
  0x77320000 \Windows\System32\normaliz.dll
  0x76F40000 \Windows\System32\ws2_32.dll
  0x76E90000 \Windows\System32\rpcrt4.dll
  0x76E10000 \Windows\System32\comdlg32.dll
  0x77310000 \Windows\System32\nsi.dll
  0x76DE0000 \Windows\System32\imagehlp.dll
  0x76D10000 \Windows\System32\user32.dll
  0x76C10000 \Windows\System32\wininet.dll
  0x76A10000 \Windows\System32\iertutil.dll
  0x76940000 \Windows\System32\msctf.dll
  0x77300000 \Windows\System32\lpk.dll
  0x76930000 \Windows\System32\psapi.dll
  0x767D0000 \Windows\System32\ole32.dll
  0x76690000 \Windows\System32\urlmon.dll
  0x76670000 \Windows\System32\imm32.dll
  0x76620000 \Windows\System32\Wldap32.dll
  0x759D0000 \Windows\System32\shell32.dll
  0x75930000 \Windows\System32\advapi32.dll
  0x75880000 \Windows\System32\msvcrt.dll
  0x75860000 \Windows\System32\sechost.dll
  0x75810000 \Windows\System32\gdi32.dll
  0x75780000 \Windows\System32\clbcatq.dll
  0x756A0000 \Windows\System32\kernel32.dll
  0x75610000 \Windows\System32\oleaut32.dll
  0x755F0000 \Windows\System32\devobj.dll
  0x755A0000 \Windows\System32\KernelBase.dll
  0x75480000 \Windows\System32\crypt32.dll
  0x75450000 \Windows\System32\cfgmgr32.dll
  0x75420000 \Windows\System32\wintrust.dll
  0x75390000 \Windows\System32\comctl32.dll
  0x75380000 \Windows\System32\msasn1.dll

Processes (total 48):
       0 System Idle Process
       4 System
     288 C:\Windows\System32\smss.exe
     372 csrss.exe
     444 C:\Windows\System32\wininit.exe
     492 C:\Windows\System32\services.exe
     560 C:\Windows\System32\lsass.exe
     568 C:\Windows\System32\lsm.exe
     668 C:\Windows\System32\svchost.exe
     764 C:\Windows\System32\svchost.exe
     844 C:\Windows\System32\svchost.exe
     896 C:\Windows\System32\svchost.exe
     932 C:\Windows\System32\svchost.exe
    1084 C:\Windows\System32\svchost.exe
    1196 C:\Windows\System32\svchost.exe
    1352 C:\Windows\System32\spoolsv.exe
    1380 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    1400 C:\Windows\System32\svchost.exe
    1712 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    1752 C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
    1868 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
    1876 C:\Windows\System32\conhost.exe
    1908 C:\Windows\System32\svchost.exe
    2084 C:\Windows\System32\svchost.exe
    2940 C:\Windows\System32\SearchIndexer.exe
    2984 C:\Windows\System32\svchost.exe
    2264 C:\Windows\System32\audiodg.exe
    2952 csrss.exe
     148 C:\Windows\System32\winlogon.exe
    3412 C:\Windows\System32\taskhost.exe
    2256 C:\Windows\System32\taskeng.exe
    2304 C:\Windows\Qnunia.exe
    1412 C:\Windows\System32\dwm.exe
    1416 C:\Windows\explorer.exe
     912 C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    1288 C:\Program Files\Common Files\Java\Java Update\jusched.exe
    3364 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    1764 C:\Program Files\TrueCrypt\TrueCrypt.exe
     676 C:\Program Files\OpenOffice.org 3\program\soffice.exe
    2284 C:\Program Files\OpenOffice.org 3\program\soffice.bin
    2740 C:\Program Files\Pidgin\pidgin.exe
    1136 C:\Program Files\Windows Media Player\wmpnetwk.exe
    2892 C:\Windows\System32\wuauclt.exe
    3624 C:\Windows\System32\SearchProtocolHost.exe
    2252 C:\Windows\System32\SearchFilterHost.exe
    1772 C:\Users\Heike\Desktop\MBRCheck.exe
    3944 C:\Windows\System32\conhost.exe
    2680 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000  (NTFS)

PhysicalDrive0 Model Number: WDCWD2500AAJS-22B4A0, Rev: 01.03A01

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Unknown MBR code
            SHA1: AD41E7C6DCF67FE13B6DC99955620CB027DF99E9


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
         

Alt 15.02.2011, 18:10   #11
Swisstreasure
/// Malwareteam
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



  • Dowloade Dir bitte TDSS Killer.zip und speichere es am Desktop.
  • Extrahiere den Inhalt der Datei auf deinem Desktop.
    Gehe sicher das die TDSSKiller.exe am Desktop ist. Nicht in einem Ordner.
    • Schließe alle laufenden Programme.
    • Trenne dich von Internet.
    • Deaktiviere deine AntiViren Software.
  • Starte TDSSkiller.exe mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Drücke auf Start scan.
  • Sollte die Meldung "Hidden service detected" schreiben keinesfalls irgendetwas hinein..Drücke nur ENTER !!!
  • Wenn das Tool fertig ist, poppt ein Fenster mit den Funden auf.
    Dieses bitte einfach schließen.
  • Nun auf Report klicken.
  • Bitte poste mir den Inhalt hier in deinen Thread.
    (auch zu finden unter C:\TDSSKiller<time_date>.txt)

Alt 15.02.2011, 19:20   #12
Stabilo
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



hallo, hier der Report:

Code:
ATTFilter
2011/02/15 19:17:51.0856 2340	TDSS rootkit removing tool 2.4.17.0 Feb 10 2011 11:07:20
2011/02/15 19:17:51.0871 2340	================================================================================
2011/02/15 19:17:51.0871 2340	SystemInfo:
2011/02/15 19:17:51.0871 2340	
2011/02/15 19:17:51.0871 2340	OS Version: 6.1.7600 ServicePack: 0.0
2011/02/15 19:17:51.0871 2340	Product type: Workstation
2011/02/15 19:17:51.0871 2340	ComputerName: HEIKE-PC
2011/02/15 19:17:51.0871 2340	UserName: Heike
2011/02/15 19:17:51.0871 2340	Windows directory: C:\Windows
2011/02/15 19:17:51.0872 2340	System windows directory: C:\Windows
2011/02/15 19:17:51.0872 2340	Processor architecture: Intel x86
2011/02/15 19:17:51.0872 2340	Number of processors: 2
2011/02/15 19:17:51.0872 2340	Page size: 0x1000
2011/02/15 19:17:51.0872 2340	Boot type: Normal boot
2011/02/15 19:17:51.0872 2340	================================================================================
2011/02/15 19:17:52.0076 2340	Initialize success
2011/02/15 19:17:57.0523 2936	================================================================================
2011/02/15 19:17:57.0523 2936	Scan started
2011/02/15 19:17:57.0523 2936	Mode: Manual; 
2011/02/15 19:17:57.0523 2936	================================================================================
2011/02/15 19:18:03.0021 2936	================================================================================
2011/02/15 19:18:03.0021 2936	Scan finished
2011/02/15 19:18:03.0021 2936	================================================================================
2011/02/15 19:18:24.0681 2732	================================================================================
2011/02/15 19:18:24.0681 2732	Scan started
2011/02/15 19:18:24.0681 2732	Mode: Manual; 
2011/02/15 19:18:24.0681 2732	================================================================================
2011/02/15 19:18:29.0897 2732	================================================================================
2011/02/15 19:18:29.0898 2732	Scan finished
2011/02/15 19:18:29.0898 2732	================================================================================
         

habe gerade gemerkt, dass ich nicht als administrator ausfegührt hatte. mache ich eben nochmal...

Alt 15.02.2011, 19:23   #13
Stabilo
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



sieht aber glaube ich auch nicht anders aus:

Code:
ATTFilter
2011/02/15 19:21:57.0568 3480	TDSS rootkit removing tool 2.4.17.0 Feb 10 2011 11:07:20
2011/02/15 19:21:57.0568 3480	================================================================================
2011/02/15 19:21:57.0568 3480	SystemInfo:
2011/02/15 19:21:57.0568 3480	
2011/02/15 19:21:57.0568 3480	OS Version: 6.1.7600 ServicePack: 0.0
2011/02/15 19:21:57.0568 3480	Product type: Workstation
2011/02/15 19:21:57.0568 3480	ComputerName: HEIKE-PC
2011/02/15 19:21:57.0568 3480	UserName: Heike
2011/02/15 19:21:57.0568 3480	Windows directory: C:\Windows
2011/02/15 19:21:57.0568 3480	System windows directory: C:\Windows
2011/02/15 19:21:57.0568 3480	Processor architecture: Intel x86
2011/02/15 19:21:57.0568 3480	Number of processors: 2
2011/02/15 19:21:57.0568 3480	Page size: 0x1000
2011/02/15 19:21:57.0568 3480	Boot type: Normal boot
2011/02/15 19:21:57.0568 3480	================================================================================
2011/02/15 19:21:57.0724 3480	Initialize success
2011/02/15 19:22:03.0169 2912	================================================================================
2011/02/15 19:22:03.0169 2912	Scan started
2011/02/15 19:22:03.0169 2912	Mode: Manual; 
2011/02/15 19:22:03.0169 2912	================================================================================
2011/02/15 19:22:08.0644 2912	================================================================================
2011/02/15 19:22:08.0644 2912	Scan finished
2011/02/15 19:22:08.0644 2912	================================================================================
         

Alt 15.02.2011, 19:29   #14
Swisstreasure
/// Malwareteam
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



Schritt 1

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Alt 22.02.2011, 12:30   #15
Stabilo
 
Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Standard

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.



Hallo,
bin etwas spät dran, aber kommt:

Malware Log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5838

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22.02.2011 12:29:24
mbam-log-2011-02-22 (12-29-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 137026
Laufzeit: 2 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
OTL kommt gleich noch...

Antwort

Themen zu Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.
automatisch, explorer, helft, inter, interne, internetexplorer, tagen, troja, trojaner, ungefragt, vermute, vermutet, öffnet



Ähnliche Themen: Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.


  1. neues Fenster und Werbung öffnet sich in Chrome ungefragt
    Plagegeister aller Art und deren Bekämpfung - 04.03.2015 (41)
  2. Nation Zoom öffnet sich ungefragt in allen Browsern
    Plagegeister aller Art und deren Bekämpfung - 04.01.2014 (12)
  3. Internetexplorer öffnet sich von selbst
    Plagegeister aller Art und deren Bekämpfung - 14.12.2013 (5)
  4. Trojanerbefall (IE öffnet sich ungefragt, Firefox läd Spiele runter)
    Plagegeister aller Art und deren Bekämpfung - 19.11.2013 (4)
  5. Windows 7: IE öffnet sich mehrmals ungefragt (Delta Search -> bösartig)
    Log-Analyse und Auswertung - 29.08.2013 (7)
  6. Webseite bizcoaching öffnet sich ständig ungefragt
    Plagegeister aller Art und deren Bekämpfung - 10.07.2013 (38)
  7. Internetexplorer öffnet sich stendig ..
    Plagegeister aller Art und deren Bekämpfung - 07.01.2011 (9)
  8. Internetexplorer öffnet sich willkürlich
    Log-Analyse und Auswertung - 22.08.2010 (4)
  9. IE öffnet ungefragt / Ton schaltetet sich ab
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (8)
  10. IE-Explorer öffnet sich ungefragt! Hier die Logfile...
    Log-Analyse und Auswertung - 04.06.2010 (7)
  11. Internetexplorer öffnet sich mit Werbung
    Log-Analyse und Auswertung - 22.09.2009 (5)
  12. Internetexplorer öffnet sich selbstständig
    Plagegeister aller Art und deren Bekämpfung - 03.09.2009 (2)
  13. prunnet.exe >> IE öffnet sich ungefragt
    Log-Analyse und Auswertung - 11.01.2009 (10)
  14. Internetexplorer öffnet sich selbst
    Log-Analyse und Auswertung - 25.12.2008 (0)
  15. Internetexplorer öffnet sich
    Log-Analyse und Auswertung - 28.02.2008 (1)
  16. Internetexplorer öffnet sich automatisch
    Plagegeister aller Art und deren Bekämpfung - 09.07.2007 (11)
  17. Internetexplorer öffnet sich
    Log-Analyse und Auswertung - 14.06.2007 (15)

Zum Thema Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. - Hallo, ich habe ein Problem. Seit zwei Tagen öffnet sich der Internetexplorer automatisch und ich bin hilflos. Bitte helft mir! Gruß Stabilo! - Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet....
Archiv
Du betrachtest: Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.