Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Kazy.mekml.1 am 21.4. leider eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.04.2011, 11:51   #1
amda0011
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



Hallo,
habe mir gestern leider auch den Trojaner Kazy.mekml.1 eingefangen. Habe gerade die Anleitung befolgt und hier die Log-Files von OTL und gmer.

Hoffe ihr könnt mir helfen. Tausend Dank im voraus


OTL.txt:


OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 22.04.2011 12:13:47 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Daniel\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 429,00 Mb Available Physical Memory | 42,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 36,14 Gb Total Space | 8,95 Gb Free Space | 24,75% Space Free | Partition Type: NTFS
Drive D: | 36,42 Gb Total Space | 31,39 Gb Free Space | 86,17% Space Free | Partition Type: FAT32
 
Computer Name: *** | User Name: Daniel | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.04.22 12:01:33 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniel\Desktop\OTL.exe
PRC - [2011.03.25 16:08:09 | 000,912,344 | -H-- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2011.03.20 22:23:57 | 000,269,480 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.01.28 18:36:42 | 000,526,336 | -H-- | M] (Spigot, Inc.) -- C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
PRC - [2011.01.28 18:10:28 | 000,387,072 | -H-- | M] (Spigot, Inc.) -- C:\Programme\Application Updater\ApplicationUpdater.exe
PRC - [2010.10.16 01:40:40 | 000,037,664 | -H-- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010.08.02 17:10:02 | 000,135,336 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.08.02 17:09:56 | 000,281,768 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.21 14:12:21 | 000,054,784 | -H-- | M] (Macrovision) -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE
PRC - [2010.01.14 23:11:02 | 000,076,968 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.03.05 17:07:20 | 002,260,480 | -H-- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2006.02.21 10:38:06 | 000,282,722 | -H-- | M] ( ) -- C:\Programme\BenQ\Q-MediaBar\qbar.exe
PRC - [2005.12.28 13:00:56 | 000,569,413 | -H-- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
PRC - [2005.12.28 12:56:16 | 000,602,182 | -H-- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
PRC - [2005.12.28 12:55:40 | 000,667,718 | -H-- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
PRC - [2005.12.28 12:52:32 | 000,397,381 | -H-- | M] (Intel Corporation) -- C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
PRC - [2005.03.07 16:40:08 | 000,151,552 | -H-- | M] () -- C:\Programme\BenQ\QMusic2\QMAgent.exe
PRC - [2004.08.04 21:00:00 | 001,035,264 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2003.11.19 14:03:40 | 000,045,056 | -H-- | M] (Ulead Systems, Inc.) -- C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
PRC - [2001.02.23 11:07:30 | 000,270,336 | -H-- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.04.22 12:01:33 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniel\Desktop\OTL.exe
MOD - [2004.08.04 21:00:00 | 001,050,624 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
MOD - [2004.08.04 21:00:00 | 000,165,376 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\credui.dll
MOD - [2004.08.04 21:00:00 | 000,095,744 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\iphlpapi.dll
MOD - [2004.08.04 21:00:00 | 000,044,032 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\rtutils.dll
MOD - [2003.02.14 11:31:38 | 000,223,904 | -H-- | M] (Autodesk) -- C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcSignCore16.dll
MOD - [2003.02.14 11:31:38 | 000,136,352 | -H-- | M] (Autodesk) -- C:\WINDOWS\system32\AcSignIcon.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2011.03.20 22:23:57 | 000,269,480 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.01.28 18:10:28 | 000,387,072 | -H-- | M] (Spigot, Inc.) [Auto | Running] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater)
SRV - [2010.10.16 01:40:40 | 000,037,664 | -H-- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010.08.02 17:10:02 | 000,135,336 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.02.21 14:12:21 | 000,054,784 | -H-- | M] (Macrovision) [Auto | Running] -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE -- (C-DillaCdaC11BA)
SRV - [2001.02.23 11:07:30 | 000,270,336 | -H-- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.03.20 22:23:58 | 000,137,656 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.26 16:45:17 | 000,061,960 | -H-- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.17 16:27:24 | 000,028,520 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.17 16:27:14 | 000,011,608 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2010.02.21 14:12:23 | 000,012,464 | -H-- | M] (Macrovision Europe Ltd) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CDAC15BA.SYS -- (CdaC15BA)
DRV - [2006.02.03 04:43:24 | 000,561,664 | -H-- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\CHDAud.sys -- (HdAudAddService)
DRV - [2006.01.17 11:21:52 | 000,328,061 | -H-- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio)
DRV - [2006.01.17 11:19:46 | 000,023,271 | -H-- | M] (Broadcom Corporation.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\btserial.sys -- (BTSERIAL)
DRV - [2006.01.17 11:18:22 | 000,850,474 | -H-- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2006.01.17 11:15:36 | 000,030,459 | -H-- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)
DRV - [2006.01.17 11:14:52 | 000,065,688 | -H-- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2006.01.17 11:11:56 | 000,148,900 | -H-- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)
DRV - [2005.12.28 14:22:08 | 000,013,568 | -H-- | M] (Intel Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)
DRV - [2005.12.19 19:10:00 | 000,243,328 | -H-- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp)
DRV - [2005.12.19 12:13:00 | 000,162,432 | -H-- | M] (Texas Instruments) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tifm21.sys -- (tifm21)
DRV - [2005.12.05 01:55:30 | 001,428,096 | -H-- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w39n51.sys -- (w39n51) Intel(R)
DRV - [2003.12.05 19:46:36 | 000,010,368 | -H-- | M] (Padus, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://WWW.BenQ.COM/
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
IE - HKCU\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {e001c731-5e37-4538-a5cb-8168736a2360}:0.9.9.90
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.03.25 16:08:17 | 000,000,000 | -H-D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.25 16:08:17 | 000,000,000 | -H-D | M]
 
[2010.12.19 19:43:34 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Extensions
[2010.02.20 23:30:50 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Extensions\mozswing@mozswing.org
[2011.04.21 14:59:39 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\mju7n06i.default\extensions
[2011.04.10 21:59:29 | 000,000,000 | -H-D | M] (BitDefender QuickScan) -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\mju7n06i.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
[2011.04.21 14:59:39 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.02.11 16:03:00 | 000,000,000 | -H-D | M] (Widgi Toolbar Platform) -- C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM
[2010.02.20 19:37:20 | 000,000,000 | -H-D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.02.11 16:03:00 | 000,000,000 | -H-D | M] (pdfforge Toolbar) -- C:\PROGRAMME\PDFFORGE TOOLBAR\FF
[2010.12.24 18:42:52 | 000,001,392 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.12.24 18:42:52 | 000,002,344 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.12.24 18:42:52 | 000,006,805 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.12.24 18:42:52 | 000,001,178 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.12.24 18:42:52 | 000,001,105 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.04.20 21:15:29 | 000,432,836 | RH-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1    www.007guard.com
O1 - Hosts: 127.0.0.1    007guard.com
O1 - Hosts: 127.0.0.1    008i.com
O1 - Hosts: 127.0.0.1    www.008k.com
O1 - Hosts: 127.0.0.1    008k.com
O1 - Hosts: 127.0.0.1    www.00hq.com
O1 - Hosts: 127.0.0.1    00hq.com
O1 - Hosts: 127.0.0.1    010402.com
O1 - Hosts: 127.0.0.1    www.032439.com
O1 - Hosts: 127.0.0.1    032439.com
O1 - Hosts: 127.0.0.1    www.0scan.com
O1 - Hosts: 127.0.0.1    0scan.com
O1 - Hosts: 127.0.0.1    1000gratisproben.com
O1 - Hosts: 127.0.0.1    www.1000gratisproben.com
O1 - Hosts: 127.0.0.1    1001namen.com
O1 - Hosts: 127.0.0.1    www.1001namen.com
O1 - Hosts: 127.0.0.1    100888290cs.com
O1 - Hosts: 127.0.0.1    www.100888290cs.com
O1 - Hosts: 127.0.0.1    www.100sexlinks.com
O1 - Hosts: 127.0.0.1    100sexlinks.com
O1 - Hosts: 127.0.0.1    10sek.com
O1 - Hosts: 127.0.0.1    www.10sek.com
O1 - Hosts: 127.0.0.1    www.1-2005-search.com
O1 - Hosts: 127.0.0.1    1-2005-search.com
O1 - Hosts: 14895 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll (Spigot, Inc.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe (Intel Corporation)
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\CHDAudPropShortcut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe ( )
O4 - HKLM..\Run: [QMusic2] C:\Programme\BenQ\QMusic2\QMAgent.exe ()
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe (Ulead Systems, Inc.)
O4 - HKCU..\Run: [mscj] File not found
O4 - HKCU..\Run: [mscj.exe] File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [uvEWQXCeAJwf] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Autostart\UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe (SWE von Schleusen)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: czlsibcevumxmskfuyaxTaskMgr = 0
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 78.42.43.62 82.212.62.62
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 - File not found
NetSvcs: AppMgmt - File not found
NetSvcs: HidServ - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found
 
 
CREATERESTOREPOINT
Error starting restore point: System Restore is disabled.
Error closing restore point: System Restore is disabled.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.04.22 12:11:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.04.22 12:11:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT
[2011.04.22 12:11:09 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2011.04.22 12:01:31 | 000,791,393 | ---- | C] (Lars Hederer ) -- C:\Dokumente und Einstellungen\Daniel\Desktop\Erunt-setup.exe
[2011.04.22 12:01:31 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniel\Desktop\OTL.exe
[2011.04.22 12:01:31 | 000,446,464 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniel\Desktop\TFC.exe
[2011.04.22 11:57:25 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Daniel\Recent
[2011.04.22 11:24:22 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\test
[2011.04.21 18:12:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Windows Recovery
[2011.04.10 08:32:50 | 000,000,000 | -H-D | C] -- C:\GISTest
[2011.04.05 17:06:53 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Python 2.5
[2011.04.05 17:06:36 | 002,113,536 | -H-- | C] (Python Software Foundation) -- C:\WINDOWS\System32\python25.dll
[2011.04.05 17:05:17 | 000,000,000 | -H-D | C] -- C:\Programme\ESRI
[2011.04.05 17:04:52 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ESRI
[2011.04.05 16:53:05 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ArcGIS
[2011.04.05 16:53:01 | 000,000,000 | -H-D | C] -- C:\Programme\Gemeinsame Dateien\ArcGIS
[2011.04.05 16:52:15 | 000,000,000 | -H-D | C] -- C:\Programme\Gemeinsame Dateien\AnswerWorks 4.0
[2011.04.05 16:51:04 | 000,000,000 | -H-D | C] -- C:\Programme\Leica Geosystems
[2011.04.05 16:48:05 | 000,000,000 | -H-D | C] -- C:\Programme\Gemeinsame Dateien\ESRI
[2011.04.05 16:46:22 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESRI
[2011.04.05 16:44:55 | 000,000,000 | -H-D | C] -- C:\Programme\Python
[2011.04.05 16:44:55 | 000,000,000 | -H-D | C] -- C:\Programme\ArcGIS
 
========== Files - Modified Within 30 Days ==========
 
[2011.04.22 12:11:10 | 000,000,591 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\NTREGOPT.lnk
[2011.04.22 12:11:10 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\ERUNT.lnk
[2011.04.22 12:08:05 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.04.22 12:08:02 | 1071,828,992 | -HS- | M] () -- C:\hiberfil.sys
[2011.04.22 12:01:34 | 000,301,568 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\g2m3e4r.exe
[2011.04.22 12:01:33 | 000,791,393 | ---- | M] (Lars Hederer ) -- C:\Dokumente und Einstellungen\Daniel\Desktop\Erunt-setup.exe
[2011.04.22 12:01:33 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniel\Desktop\OTL.exe
[2011.04.22 12:01:32 | 000,446,464 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniel\Desktop\TFC.exe
[2011.04.21 18:12:58 | 000,000,823 | -H-- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\Windows Recovery.lnk
[2011.04.21 14:48:31 | 000,043,758 | -H-- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2011.04.20 21:15:29 | 000,432,836 | RH-- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.04.16 16:09:48 | 000,002,206 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.04.14 18:03:58 | 000,432,370 | RH-- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110420-211529.backup
[2011.04.12 21:12:19 | 000,000,071 | -H-- | M] () -- C:\WINDOWS\Pex.INI
[2011.04.07 20:06:27 | 000,432,370 | RH-- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110414-180358.backup
[2011.04.06 08:08:49 | 000,249,496 | -H-- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.04.05 17:23:39 | 000,000,870 | -H-- | M] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\ArcMap.lnk
[2011.04.05 17:12:38 | 000,000,668 | -H-- | M] () -- C:\WINDOWS\ArcView9x.INI
[2011.03.31 22:13:38 | 000,011,380 | -H-- | M] () -- C:\Dokumente und Einstellungen\Daniel\gsview32.ini
[2011.03.30 13:04:31 | 000,431,610 | RH-- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110407-200626.backup
[2011.03.23 22:14:37 | 000,431,478 | RH-- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110330-130431.backup
 
========== Files Created - No Company Name ==========
 
[2011.04.22 12:11:10 | 000,000,591 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\NTREGOPT.lnk
[2011.04.22 12:11:10 | 000,000,572 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\ERUNT.lnk
[2011.04.22 12:01:31 | 000,301,568 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\g2m3e4r.exe
[2011.04.21 18:12:58 | 000,000,823 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\Windows Recovery.lnk
[2011.04.05 17:23:39 | 000,000,870 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniel\Desktop\ArcMap.lnk
[2011.04.05 17:12:38 | 000,000,668 | -H-- | C] () -- C:\WINDOWS\ArcView9x.INI
[2010.12.17 12:24:33 | 000,000,664 | -H-- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.09.23 00:40:55 | 000,116,224 | -H-- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010.07.13 19:07:36 | 000,005,880 | -H-- | C] () -- C:\WINDOWS\UEDIT32.INI
[2010.06.03 11:23:50 | 000,000,069 | -H-- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.03.01 22:13:12 | 000,000,400 | -H-- | C] () -- C:\WINDOWS\ODBC.INI
[2010.02.28 10:54:59 | 000,000,071 | -H-- | C] () -- C:\WINDOWS\Pex.INI
[2010.02.20 21:31:46 | 000,029,696 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.20 18:41:56 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\nsreg.dat
[2006.02.27 04:21:53 | 001,519,616 | -H-- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2006.02.27 04:21:52 | 001,019,904 | -H-- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.02.27 04:21:51 | 001,662,976 | -H-- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.02.27 04:21:51 | 000,466,944 | -H-- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.02.27 04:21:48 | 001,466,368 | -H-- | C] () -- C:\WINDOWS\System32\nview.dll
[2006.02.27 04:21:48 | 001,339,392 | -H-- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2006.02.27 04:21:45 | 000,442,368 | -H-- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2006.02.27 04:21:45 | 000,110,592 | -H-- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2006.01.17 11:31:30 | 000,090,112 | -H-- | C] () -- C:\WINDOWS\System32\btprn2k.dll
[2005.03.21 18:16:26 | 000,000,061 | -H-- | C] () -- C:\WINDOWS\smscfg.ini
[2005.03.21 17:37:55 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2005.03.21 17:33:35 | 000,021,740 | -H-- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2005.03.21 17:32:32 | 000,003,776 | -H-- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2005.03.21 17:28:33 | 000,004,161 | -H-- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.03.21 17:27:49 | 000,249,496 | -H-- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004.10.27 00:39:05 | 003,375,104 | -H-- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2001.11.14 13:56:00 | 001,802,240 | -H-- | C] () -- C:\WINDOWS\System32\lcppn21.dll
[1997.06.25 15:24:16 | 000,040,448 | -H-- | C] () -- C:\WINDOWS\System32\RegObj.dll
[1980.01.01 01:00:00 | 013,107,200 | -H-- | C] () -- C:\WINDOWS\System32\oembios.bin
[1980.01.01 01:00:00 | 000,673,088 | -H-- | C] () -- C:\WINDOWS\System32\mlang.dat
[1980.01.01 01:00:00 | 000,318,680 | -H-- | C] () -- C:\WINDOWS\System32\perfh007.dat
[1980.01.01 01:00:00 | 000,313,280 | -H-- | C] () -- C:\WINDOWS\System32\perfh009.dat
[1980.01.01 01:00:00 | 000,272,128 | -H-- | C] () -- C:\WINDOWS\System32\perfi009.dat
[1980.01.01 01:00:00 | 000,269,480 | -H-- | C] () -- C:\WINDOWS\System32\perfi007.dat
[1980.01.01 01:00:00 | 000,218,003 | -H-- | C] () -- C:\WINDOWS\System32\dssec.dat
[1980.01.01 01:00:00 | 000,049,424 | -H-- | C] () -- C:\WINDOWS\System32\perfc007.dat
[1980.01.01 01:00:00 | 000,046,258 | -H-- | C] () -- C:\WINDOWS\System32\mib.bin
[1980.01.01 01:00:00 | 000,040,998 | -H-- | C] () -- C:\WINDOWS\System32\perfc009.dat
[1980.01.01 01:00:00 | 000,036,864 | -H-- | C] () -- C:\WINDOWS\SMARTDEL.EXE
[1980.01.01 01:00:00 | 000,034,478 | -H-- | C] () -- C:\WINDOWS\System32\perfd007.dat
[1980.01.01 01:00:00 | 000,028,626 | -H-- | C] () -- C:\WINDOWS\System32\perfd009.dat
[1980.01.01 01:00:00 | 000,027,440 | -H-- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[1980.01.01 01:00:00 | 000,004,569 | -H-- | C] () -- C:\WINDOWS\System32\secupd.dat
[1980.01.01 01:00:00 | 000,004,491 | -H-- | C] () -- C:\WINDOWS\System32\oembios.dat
[1980.01.01 01:00:00 | 000,001,788 | -H-- | C] () -- C:\WINDOWS\System32\Dcache.bin
[1980.01.01 01:00:00 | 000,000,741 | -H-- | C] () -- C:\WINDOWS\System32\noise.dat
[1980.01.01 01:00:00 | 000,000,609 | -H-- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
 
========== LOP Check ==========
 
[2010.02.21 14:10:17 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2010.07.23 11:00:08 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
[2010.03.22 18:47:13 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2010.03.08 21:35:21 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2011.04.05 16:46:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESRI
[2011.04.22 11:24:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\test
[2005.03.21 17:48:01 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2010.10.29 19:05:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2010.02.21 14:14:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Autodesk
[2010.03.08 22:54:08 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\elsterformular
[2011.04.10 08:42:11 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ESRI
[2010.02.20 20:28:01 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ICQ
[2010.12.19 21:01:03 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\MSA
[2010.02.20 19:50:37 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Notepad++
[2010.09.23 00:55:01 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\pdfforge
[2011.04.21 18:22:41 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\QuickScan
[2011.02.11 16:03:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Search Settings
[2010.02.28 10:48:03 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Ulead Systems
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2010.02.20 17:25:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen
[2005.03.21 17:53:16 | 000,000,000 | -H-D | M] -- C:\DRV
[2010.06.16 20:55:33 | 000,000,000 | -H-D | M] -- C:\GAMES
[2011.04.10 08:47:17 | 000,000,000 | -H-D | M] -- C:\GISTest
[2005.03.21 17:39:34 | 000,000,000 | -H-D | M] -- C:\I386
[2011.04.22 12:11:09 | 000,000,000 | RH-D | M] -- C:\Programme
[2003.03.13 08:53:38 | 000,000,000 | -H-D | M] -- C:\QINFO
[2010.02.20 17:53:20 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.04.22 10:39:00 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2010.02.20 19:47:05 | 000,000,000 | -H-D | M] -- C:\Temp
[2011.04.22 12:11:52 | 000,000,000 | -H-D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE >
[2004.08.04 21:00:00 | 001,035,264 | -H-- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | -H-- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe
 
< MD5 for: USERINIT.EXE >
[2008.04.14 04:23:03 | 000,026,624 | -H-- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\userinit.exe
[2004.08.04 21:00:00 | 000,025,088 | -H-- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE >
[2004.08.04 21:00:00 | 000,507,392 | -H-- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | -H-- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-04-15 13:57:49
 
< End of report >
         
--- --- ---




Extras.txt:


OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 22.04.2011 12:13:47 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Daniel\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 429,00 Mb Available Physical Memory | 42,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 36,14 Gb Total Space | 8,95 Gb Free Space | 24,75% Space Free | Partition Type: NTFS
Drive D: | 36,42 Gb Total Space | 31,39 Gb Free Space | 86,17% Space Free | Partition Type: FAT32
 
Computer Name: *** | User Name: Daniel | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.scr [@ = AutoCADScriptFile] -- C:\Programme\Notepad++\notepad++.exe (Don HO don.h@free.fr)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Maple\bin.win\mserver.exe" = C:\Programme\Maple\bin.win\mserver.exe:*:Enabled:mserver -- ()
"C:\Programme\LimeWire\LimeWire.exe" = C:\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (hxxp://www.emule-project.net)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{094C28D2-3FE2-417C-AF0B-425FE891F04A}" = Motorola Phone Tools
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1CF65E18-6463-4D28-A476-7DA10FBCE816}" = ArcGIS Desktop Evaluation Edition
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 12
"{27270D6C-6784-40C5-BBD3-F0230D25DEAA}" = Q-MediaBar
"{2A981294-F14C-4F0F-9627-D793270922F8}" = Bonjour
"{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{3F4EC965-28EF-45C3-B063-04B25D4E9679}" = WIDCOMM Bluetooth Software
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{5783F2D7-0201-0407-0002-0060B0CE6BBA}" = AutoCAD 2004
"{5CB6B359-CF25-47BE-B332-D222038758A3}" = QMusic 2.6
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}" = Avanquest update
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX
"{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A}" = TIPCI
"{881F5DE8-9367-4B81-A325-E91BBC6472F9}" = iTunes
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8C6BB412-D3A8-4AAE-A01B-35B681789D68}" = mHelp
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{A0B139A7-E8D5-49E8-A7BF-12421E652208}" = pdfforge Toolbar v4.3
"{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}" = mDriver
"{A13D16C5-38A9-4D96-9647-59FCCAB12A85}" = Visual Basic for Applications (R) Core - English
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X (10.0.1) - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B502B428-3386-40A9-98DB-079AAB72E64F}" = mEoU
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer Express
"{BAD8CA9C-77C0-4663-B00B-A8D3B13C341B}" = Motorola Phone Tools
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{D271DAE0-8D68-4C97-8356-A126D48A1D8C}" = Ulead Photo Explorer 8.0 SE Basic
"{E81667C6-2856-46D6-ABEA-6A2F42166779}" = mCore
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{FB97C283-1F3C-42D4-AE01-ADC1DC12F774}" = Visual Basic for Applications (R) Core
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ArcGIS Desktop Evaluation Edition" = ArcGIS Desktop Evaluation Edition
"Autodesk Express Viewer" = Autodesk Express Viewer
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CdaC13Ba" = SafeCast Shared Components
"CNXT_HDAUDIO" = Conexant HD Audio
"CNXT_MODEM_PCI_VEN_14F1&DEV_5045&SUBSYS_152D0753" = Soft Data Fax Modem with SmartCP
"ElsterFormular 11.2.0.4074" = ElsterFormular
"ElsterFormular für Privatanwender und Unternehmer 12.0.0.5880k" = ElsterFormular für Privatanwender und Unternehmer
"eMule" = eMule
"ERUNT_is1" = ERUNT 1.1j
"GPL Ghostscript 8.71" = GPL Ghostscript 8.71
"GSview 4.9" = GSview 4.9
"HeidiWin" = HeidiWin
"InstallShield_{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A}" = Texas Instruments PCIxx21/x515/xx12 drivers.
"Microsoft Visual C++ 6.0 Dokumentation (deu)" = Microsoft Visual C++ 6.0 Dokumentation (Deutsch)
"MiKTeX 2.8" = MiKTeX 2.8
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"Notepad++" = Notepad++
"numpy-py2.5" = Python 2.5 numpy-1.0.3
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel(R) PROSet/Wireless Software
"Python 2.5 numpy-1.0.3" = Python 2.5 numpy-1.0.3
"Python 2.5.1" = Python 2.5.1
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TeXnicCenter_is1" = TeXnicCenter Version 1.0 Stable RC1
"UltimateZip_is1" = UltimateZip 2.6
"Visual C++ 6.0 Autoren Edition (deu)" = Microsoft Visual C++ 6.0 Autoren Edition (Deutsch)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"WTrans" = WTrans
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 14.04.2011 15:33:09 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.4095, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.04.2011 12:13:55 | Computer Name = *** | Source = MSDTC | ID = 4404
Description = Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Initialisieren
der Infrastruktur der Ablaufverfolgung. Interne Informationen: msdtc_trace : File:
d:\comxp_sp2\com\com1x\dtc\dtc\trace\src\tracelib.cpp, Line: 1115, StartTrace Failed,
hr=0x800700a1 
 
Error - 21.04.2011 12:28:51 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.4095, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.04.2011 12:50:49 | Computer Name = *** | Source = MSDTC | ID = 4404
Description = Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Initialisieren
der Infrastruktur der Ablaufverfolgung. Interne Informationen: msdtc_trace : File:
d:\comxp_sp2\com\com1x\dtc\dtc\trace\src\tracelib.cpp, Line: 1115, StartTrace Failed,
hr=0x800700a1 
 
Error - 21.04.2011 13:01:09 | Computer Name = *** | Source = MSDTC | ID = 4404
Description = Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Initialisieren
der Infrastruktur der Ablaufverfolgung. Interne Informationen: msdtc_trace : File:
d:\comxp_sp2\com\com1x\dtc\dtc\trace\src\tracelib.cpp, Line: 1115, StartTrace Failed,
hr=0x800700a1 
 
Error - 21.04.2011 13:25:34 | Computer Name = *** | Source = MSDTC | ID = 4404
Description = Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Initialisieren
der Infrastruktur der Ablaufverfolgung. Interne Informationen: msdtc_trace : File:
d:\comxp_sp2\com\com1x\dtc\dtc\trace\src\tracelib.cpp, Line: 1115, StartTrace Failed,
hr=0x800700a1 
 
Error - 21.04.2011 15:24:37 | Computer Name = *** | Source = MSDTC | ID = 4404
Description = Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Initialisieren
der Infrastruktur der Ablaufverfolgung. Interne Informationen: msdtc_trace : File:
d:\comxp_sp2\com\com1x\dtc\dtc\trace\src\tracelib.cpp, Line: 1115, StartTrace Failed,
hr=0x800700a1 
 
Error - 22.04.2011 02:21:28 | Computer Name = *** | Source = MSDTC | ID = 4404
Description = Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Initialisieren
der Infrastruktur der Ablaufverfolgung. Interne Informationen: msdtc_trace : File:
d:\comxp_sp2\com\com1x\dtc\dtc\trace\src\tracelib.cpp, Line: 1115, StartTrace Failed,
hr=0x800700a1 
 
Error - 22.04.2011 02:30:36 | Computer Name = *** | Source = MSDTC | ID = 4404
Description = Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Initialisieren
der Infrastruktur der Ablaufverfolgung. Interne Informationen: msdtc_trace : File:
d:\comxp_sp2\com\com1x\dtc\dtc\trace\src\tracelib.cpp, Line: 1115, StartTrace Failed,
hr=0x800700a1 
 
Error - 22.04.2011 04:38:24 | Computer Name = *** | Source = MSDTC | ID = 4404
Description = Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Initialisieren
der Infrastruktur der Ablaufverfolgung. Interne Informationen: msdtc_trace : File:
d:\comxp_sp2\com\com1x\dtc\dtc\trace\src\tracelib.cpp, Line: 1115, StartTrace Failed,
hr=0x800700a1 
 
[ System Events ]
Error - 22.04.2011 06:01:47 | Computer Name = *** | Source = Service Control Manager | ID = 7034
Description = Dienst "Dienst "Bonjour"" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
Error - 22.04.2011 06:01:47 | Computer Name = *** | Source = Service Control Manager | ID = 7034
Description = Dienst "Intel(R) PROSet/Wireless Registry Service" wurde unerwartet
beendet. Dies ist bereits 1 Mal passiert.
 
Error - 22.04.2011 06:01:47 | Computer Name = *** | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Bluetooth Service" wurde unerwartet beendet. Dies ist 
bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden
durchgeführt: Starten Sie den Dienst neu..
 
Error - 22.04.2011 06:01:47 | Computer Name = *** | Source = Service Control Manager | ID = 7034
Description = Dienst "C-DillaCdaC11BA" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
Error - 22.04.2011 06:01:47 | Computer Name = *** | Source = Service Control Manager | ID = 7034
Description = Dienst "iPod-Dienst" wurde unerwartet beendet. Dies ist bereits 1 
Mal passiert.
 
Error - 22.04.2011 06:01:48 | Computer Name = *** | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
 
Error - 22.04.2011 06:08:21 | Computer Name = *** | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 22.04.2011 06:08:23 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%5
 
Error - 22.04.2011 06:14:26 | Computer Name = *** | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 22.04.2011 06:14:26 | Computer Name = *** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%5
 
 
< End of report >
         
--- --- ---




gmer.txt:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15570 - hxxp://www.gmer.net
Rootkit scan 2011-04-22 12:35:13
Windows 5.1.2600 Service Pack 2 
Running: g2m3e4r.exe; Driver: C:\DOKUME~1\Daniel\LOKALE~1\Temp\uwrdrpob.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT F7C3C17E ZwCreateKey
SSDT F7C3C174 ZwCreateThread
SSDT F7C3C183 ZwDeleteKey
SSDT F7C3C18D ZwDeleteValueKey
SSDT F7C3C192 ZwLoadKey
SSDT F7C3C160 ZwOpenProcess
SSDT F7C3C165 ZwOpenThread
SSDT F7C3C19C ZwReplaceKey
SSDT F7C3C197 ZwRestoreKey
SSDT F7C3C188 ZwSetValueKey
 
---- Kernel code sections - GMER 1.0.15 ----
 
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF67B3380, 0x21641D, 0xE8000020]
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF65BAEBF]
 
---- Devices - GMER 1.0.15 ----
 
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 
---- EOF - GMER 1.0.15 ----
         
--- --- ---

Alt 22.04.2011, 14:06   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________

__________________

Alt 22.04.2011, 15:48   #3
amda0011
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



OK, habe Malwarebytes installiert, upgedatet und vollständigen Scan laufen lassen. Hier die Log-Datei

Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6418

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

22.04.2011 16:44:49
mbam-log-2011-04-22 (16-44-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 300298
Laufzeit: 1 Stunde(n), 25 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\czlsibcevumxmskfuyaxTaskMgr (Hijack.TaskManager) -> Value: czlsibcevumxmskfuyaxTaskMgr -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscj.exe (Trojan.Downloader) -> Value: mscj.exe -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscj (Trojan.FakeAlert) -> Value: mscj -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\Daniel\startmenü\programme\windows recovery (Trojan.FakeAV) -> No action taken.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\test\uvewqxceajwf.exe (Trojan.FakeAlert) -> No action taken.
c:\dokumente und einstellungen\Daniel\eigene dateien\stressrelief.exe (Joke.Stressreducer) -> No action taken.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.
c:\system volume information\_restore{bf876388-b93e-478f-a8a5-114bd86003f6}\RP90\A0040146.old (Adware.WidgiToolbar) -> No action taken.
c:\dokumente und einstellungen\Daniel\Desktop\windows recovery.lnk (Trojan.FakeAV) -> No action taken.
c:\dokumente und einstellungen\Daniel\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> No action taken.
c:\dokumente und einstellungen\Daniel\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> No action taken.
__________________

Alt 22.04.2011, 17:30   #4
amda0011
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



sorry, hab vorhin vergessen die infizierungen zu entfernen
Hier das Log-File nach erneutem Durchlauf

Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6420

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

22.04.2011 18:23:43
mbam-log-2011-04-22 (18-23-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 300330
Laufzeit: 1 Stunde(n), 15 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\czlsibcevumxmskfuyaxTaskMgr (Hijack.TaskManager) -> Value: czlsibcevumxmskfuyaxTaskMgr -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscj.exe (Trojan.Downloader) -> Value: mscj.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscj (Trojan.FakeAlert) -> Value: mscj -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\Daniel\startmenü\programme\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\test\uvewqxceajwf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Daniel\eigene dateien\stressrelief.exe (Joke.Stressreducer) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{bf876388-b93e-478f-a8a5-114bd86003f6}\RP90\A0040146.old (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Daniel\Desktop\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Daniel\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Daniel\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.

Alt 23.04.2011, 14:45   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [mscj] File not found
O4 - HKCU..\Run: [mscj.exe] File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [uvEWQXCeAJwf] File not found
O4 - HKLM..\Run: [] File not found
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

__________________
Logs bitte immer in CODE-Tags posten

Alt 23.04.2011, 15:00   #6
amda0011
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



OK, hier das Log-File nach automatischem Neustart

Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mscj not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mscj.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer deleted successfully.
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\uvEWQXCeAJwf deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Daniel
->Temp folder emptied: 14316 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 7000 bytes
->FireFox cache emptied: 70559680 bytes
->Flash cache emptied: 636 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 67,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 04232011_155540

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Alt 23.04.2011, 16:00   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
Logs bitte immer in CODE-Tags posten

Alt 23.04.2011, 20:21   #8
amda0011
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



OK, habe zuerst unhide.exe ausgeführt und anschließend das Kaspersky Tool. Allerdings hat das nichts gefunden, wo jetzt die Frage ist, ob das gut oder schlecht ist. Nach Neustart habe ich Malwarebytes upgedated und einen vollständigen scan laufen lassen. Auch hier keine Infizierungen gefunden, ich hoffe, dass das ein gutes Zeichen ist. Hier das Log-File

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6426

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

23.04.2011 21:15:16
mbam-log-2011-04-23 (21-15-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 300669
Laufzeit: 57 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Alt 25.04.2011, 13:41   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logs bitte immer in CODE-Tags posten

Alt 25.04.2011, 14:46   #10
amda0011
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



OK, hier das Log_file vom combofix

Code:
ATTFilter
ComboFix 11-04-24.06 - Daniel 25.04.2011  15:35:50.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.1022.609 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Daniel\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\test
c:\dokumente und einstellungen\Daniel\Anwendungsdaten\MSA
c:\dokumente und einstellungen\Daniel\Anwendungsdaten\MSA\userid.dat
c:\dokumente und einstellungen\Daniel\WINDOWS
c:\programme\pdfforge Toolbar\IE\4.3\pdFForgetoolbarie.dll
c:\windows\system32\MSMASK32.OCX
c:\windows\system32\regobj.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-25 bis 2011-04-25  ))))))))))))))))))))))))))))))
.
.
2011-04-22 10:11 . 2011-04-22 10:11	--------	d-----w-	c:\programme\ERUNT
2011-04-10 06:32 . 2011-04-10 06:47	--------	d-----w-	C:\GISTest
2011-04-05 15:06 . 2007-04-18 06:51	2113536	----a-w-	c:\windows\system32\python25.dll
2011-04-05 15:05 . 2011-04-05 15:05	--------	d-----w-	c:\programme\ESRI
2011-04-05 15:04 . 2011-04-10 06:42	--------	d-----w-	c:\dokumente und einstellungen\Daniel\Anwendungsdaten\ESRI
2011-04-05 14:53 . 2011-04-05 14:53	--------	d-----w-	c:\programme\Gemeinsame Dateien\ArcGIS
2011-04-05 14:52 . 2011-04-05 14:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\AnswerWorks 4.0
2011-04-05 14:51 . 2011-04-05 14:51	--------	d-----w-	c:\programme\Leica Geosystems
2011-04-05 14:48 . 2011-04-05 14:50	--------	d-----w-	c:\programme\Gemeinsame Dateien\ESRI
2011-04-05 14:46 . 2011-04-05 14:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESRI
2011-04-05 14:44 . 2011-04-05 15:06	--------	d-----w-	c:\programme\Python
2011-04-05 14:44 . 2011-04-05 14:52	--------	d-----w-	c:\programme\ArcGIS
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-20 20:23 . 2010-02-20 17:14	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-09-30 737370]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-15 7331840]
"nwiz"="nwiz.exe" [2005-12-15 1519616]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-02-03 61952]
"Q-MediaBar"="c:\programme\BenQ\Q-MediaBar\QBar.exe" [2006-02-21 282722]
"QMusic2"="c:\programme\BenQ\QMusic2\QMAgent.exe" [2005-03-07 151552]
"Ulead AutoDetector"="c:\programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-11-19 45056]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]
"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-12-28 569413]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-02-20 148888]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2011-01-28 526336]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
c:\dokumente und einstellungen\Daniel\Startmen\Programme\Autostart\
UltimateZip Quick Start.lnk - c:\programme\UltimateZip\uzqkst.exe [2001-9-5 229888]
.
c:\dokumente und einstellungen\Daniel\Startmen\Programme\Autostart\
UltimateZip Quick Start.lnk - c:\programme\UltimateZip\uzqkst.exe [2001-9-5 229888]
.
c:\dokumente und einstellungen\Daniel\Startmen\Programme\Autostart\
UltimateZip Quick Start.lnk - c:\programme\UltimateZip\uzqkst.exe [2001-9-5 229888]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
c:\dokumente und einstellungen\Daniel\Startmen\Programme\Autostart\
UltimateZip Quick Start.lnk - c:\programme\UltimateZip\uzqkst.exe [2001-9-5 229888]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Maple\\bin.win\\mserver.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\eMule\\emule.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [20.02.2010 19:14 135336]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [28.01.2011 18:10 387072]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: {65F5DD5F-BD0C-4C63-83EA-D5DF20BC6A30} = 82.145.9.8 82.144.41.8
FF - ProfilePath - c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\mju7n06i.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-25 15:40
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2011-04-25  15:42:28
ComboFix-quarantined-files.txt  2011-04-25 13:42
.
Vor Suchlauf: 9.324.294.144 Bytes frei
Nach Suchlauf: 9.290.514.432 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP" /fastdetect
[spybotsd]
timeout.old=30
.
- - End Of File - - E921B115961EA1C1707C6E4522682719
         

Alt 25.04.2011, 15:07   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logs bitte immer in CODE-Tags posten

Alt 25.04.2011, 17:22   #12
amda0011
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



Weiß jetzt nicht ob DU die anderen Log-Files auch brauchst, hab jetzt mal alle drangehängt.

gmer.txt

Code:
ATTFilter
GMER 1.0.15.15570 - hxxp://www.gmer.net
Rootkit scan 2011-04-25 17:53:44
Windows 5.1.2600 Service Pack 2 
Running: g2m3e4r.exe; Driver: C:\DOKUME~1\Daniel\LOKALE~1\Temp\uwrdrpob.sys


---- System - GMER 1.0.15 ----

SSDT            F7D5BF96                                  ZwCreateKey
SSDT            F7D5BF8C                                  ZwCreateThread
SSDT            F7D5BF9B                                  ZwDeleteKey
SSDT            F7D5BFA5                                  ZwDeleteValueKey
SSDT            F7D5BFAA                                  ZwLoadKey
SSDT            F7D5BF78                                  ZwOpenProcess
SSDT            F7D5BF7D                                  ZwOpenThread
SSDT            F7D5BFB4                                  ZwReplaceKey
SSDT            F7D5BFAF                                  ZwRestoreKey
SSDT            F7D5BFA0                                  ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys  section is writeable [0xF6928380, 0x21641D, 0xE8000020]
init            C:\WINDOWS\system32\drivers\tifm21.sys    entry point in "init" section [0xF672FEBF]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0   SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1   SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                  fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         

osam Log-File

Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:09:08 on 25.04.2011

OS: Windows XP Home Edition Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.16

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"plotman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\plotman.cpl
"styleman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\styleman.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.4.9.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"Bluetooth Serial Driver" (BTSERIAL) - "Broadcom Corporation." - C:\WINDOWS\system32\drivers\btserial.sys
"Bluetooth-Audiogerät" (btaudio) - "Broadcom Corporation." - C:\WINDOWS\System32\drivers\btaudio.sys
"Bluetooth-Bus-Enumerator" (BTKRNL) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btkrnl.sys
"Bluetooth-LAN-Zugangsserver" (BTWDNDIS) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btwdndis.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Daniel\LOKALE~1\Temp\catchme.sys  (File not found)
"CdaC15BA" (CdaC15BA) - "Macrovision Europe Ltd" - C:\WINDOWS\system32\drivers\CDAC15BA.SYS
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"uwrdrpob" (uwrdrpob) - ? - C:\DOKUME~1\Daniel\LOKALE~1\Temp\uwrdrpob.sys  (Hidden registry entry, rootkit activity | File not found)
"Virtueller Bluetooth-Kommunikationstreiber" (BTDriver) - "Broadcom Corporation." - C:\WINDOWS\System32\DRIVERS\btport.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WIDCOMM USB Bluetooth Driver" (BTWUSB) - "Broadcom Corporation." - C:\WINDOWS\System32\Drivers\btwusb.sys
"WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{36A21736-36C2-4C11-8ACB-D4136F2B57BD} "AcSignIcon" - "Autodesk" - C:\WINDOWS\system32\AcSignIcon.dll
{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} "ACTHUMBNAIL" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll
{6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\btneighborhood.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{D545EBD1-BD92-11CF-8772-00A0C9039735} "Developer Studio Components" - "Microsoft Corporation" - C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVXPGL.DLL
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{6B19FEC2-A45B-11CF-9045-00A0C9039735} "Registered ActiveX Controls" - "Microsoft Corporation" - C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVXPGL.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{2F860D81-AF3C-11D4-BDB3-00E0987D8540} "UltimateZip Shell Extension 1" - ? - C:\Programme\UltimateZip\uzshlex.dll  (File found, but it contains no detailed information)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_12" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_12.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab
{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} "Java Plug-in 1.6.0_12" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_12.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_12" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_12.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
"ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
"BTTray.lnk" - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Daniel\Startmenü\Programme\Autostart\desktop.ini
"UltimateZip Quick Start.lnk" - "SWE von Schleusen" - C:\Programme\UltimateZip\uzqkst.exe  (Shortcut exists | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"EOUApp" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
"IntelWireless" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
"IntelZeroConfig" - "Intel Corporation" - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"Q-MediaBar" - " " - C:\Programme\BenQ\Q-MediaBar\QBar.exe /stop
"QMusic2" - ? - C:\Programme\BenQ\QMusic2\QMAgent.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"RemoteControl" - "Cyberlink Corp." - C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"SearchSettings" - "Spigot, Inc." - "C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe"
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"
"Ulead AutoDetector" - "Ulead Systems, Inc." - C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"Application Updater" (Application Updater) - "Spigot, Inc." - C:\Programme\Application Updater\ApplicationUpdater.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Scheduler" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
"C-DillaCdaC11BA" (C-DillaCdaC11BA) - "Macrovision" - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
"Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
"Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         

mbrcheck

Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 2 (build 2600)
Logical Drives Mask:		0x0000000c

Kernel Drivers (total 124):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E3000 \WINDOWS\system32\hal.dll
  0xF7B12000 \WINDOWS\system32\KDCOM.DLL
  0xF7A22000 \WINDOWS\system32\BOOTVID.dll
  0xF74E2000 ACPI.sys
  0xF7B14000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF74D1000 pci.sys
  0xF7612000 isapnp.sys
  0xF7622000 ohci1394.sys
  0xF7632000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7A26000 compbatt.sys
  0xF7A2A000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xF7BDA000 pciide.sys
  0xF7892000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF74B3000 pcmcia.sys
  0xF7642000 MountMgr.sys
  0xF7494000 ftdisk.sys
  0xF7A2E000 ACPIEC.sys
  0xF7BDB000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xF789A000 PartMgr.sys
  0xF7652000 VolSnap.sys
  0xF747C000 atapi.sys
  0xF7662000 disk.sys
  0xF7672000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF745D000 fltMgr.sys
  0xF744B000 sr.sys
  0xF7434000 KSecDD.sys
  0xF73A7000 Ntfs.sys
  0xF737A000 NDIS.sys
  0xF735F000 Mup.sys
  0xF7692000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF76A2000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF7AFE000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xF6928000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xF6914000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF68EF000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF6792000 \SystemRoot\system32\DRIVERS\w39n51.sys
  0xF6756000 \SystemRoot\system32\DRIVERS\yk51x86.sys
  0xF7962000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF6733000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF796A000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF670B000 \SystemRoot\system32\drivers\tifm21.sys
  0xF66FA000 \SystemRoot\system32\DRIVERS\sdbus.sys
  0xF76B2000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7972000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF66CB000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xF7B46000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF797A000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF65FF000 \SystemRoot\system32\DRIVERS\btkrnl.sys
  0xF7C19000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF76C2000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF733B000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF65E8000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF76D2000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF76E2000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7982000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF65D7000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF76F2000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF798A000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7992000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF7702000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7B48000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF65B4000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF6580000 \SystemRoot\system32\DRIVERS\update.sys
  0xF732F000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF6532000 \SystemRoot\system32\drivers\btaudio.sys
  0xF650E000 \SystemRoot\system32\drivers\portcls.sys
  0xF7712000 \SystemRoot\system32\drivers\drmk.sys
  0xF7722000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF4417000 \SystemRoot\system32\drivers\CHDAud.sys
  0xF43DD000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
  0xF42E6000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
  0xF422F000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
  0xF799A000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF7782000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7B4E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7C22000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7B50000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF79CA000 \SystemRoot\System32\drivers\vga.sys
  0xF7B52000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7B54000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF79D2000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF79DA000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7AB6000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xF4134000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xF40DC000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xF40B4000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xF4093000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF4071000 \SystemRoot\System32\drivers\afd.sys
  0xF77B2000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF77C2000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF79E2000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xF4045000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xF77E2000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xF3FD6000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF7802000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF7812000 \SystemRoot\System32\Drivers\btwusb.sys
  0xF79EA000 \SystemRoot\system32\DRIVERS\btport.sys
  0xF3FB8000 \SystemRoot\system32\DRIVERS\btwdndis.sys
  0xF3F92000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7B5C000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF3F47000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xF3F2F000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7B7A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF4177000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7A12000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7C82000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBA4AB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xF78EA000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xBA4D8000 \SystemRoot\system32\DRIVERS\s24trans.sys
  0xBA49F000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB995E000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB9921000 \SystemRoot\system32\drivers\wdmaud.sys
  0xBA3D3000 \SystemRoot\system32\drivers\sysaudio.sys
  0xF79F2000 \??\C:\WINDOWS\system32\drivers\btserial.sys
  0xB8C26000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
  0xB7EBF000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB8BFE000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
  0xB79BD000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB6706000 \??\C:\DOKUME~1\Daniel\LOKALE~1\Temp\uwrdrpob.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 51):
       0 System Idle Process
       4 System
     820 C:\WINDOWS\system32\smss.exe
     888 csrss.exe
     920 C:\WINDOWS\system32\winlogon.exe
     968 C:\WINDOWS\system32\services.exe
     980 C:\WINDOWS\system32\lsass.exe
    1164 C:\WINDOWS\system32\svchost.exe
    1212 svchost.exe
    1356 C:\WINDOWS\system32\svchost.exe
    1412 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    1448 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    1592 svchost.exe
    1684 svchost.exe
    1984 C:\WINDOWS\system32\spoolsv.exe
    2028 C:\Programme\Avira\AntiVir Desktop\sched.exe
     228 svchost.exe
     680 C:\WINDOWS\explorer.exe
     896 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
     984 C:\Programme\BenQ\Q-MediaBar\qbar.exe
    1248 C:\Programme\BenQ\QMusic2\QMAgent.exe
    1260 C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
    1268 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    1284 C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
    1320 C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
    1328 C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
    1340 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    1384 C:\Programme\Java\jre6\bin\jusched.exe
    1512 C:\Programme\iTunes\iTunesHelper.exe
    1544 C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
    1488 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    1664 C:\Programme\UltimateZip\uzqkst.exe
    1908 C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe
     612 C:\Programme\Avira\AntiVir Desktop\avguard.exe
     632 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
     748 C:\Programme\Application Updater\ApplicationUpdater.exe
     772 C:\Programme\Bonjour\mDNSResponder.exe
    1764 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
     868 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    1580 C:\Programme\Java\jre6\bin\jqs.exe
    2064 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    2268 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    2284 C:\WINDOWS\system32\nvsvc32.exe
    2332 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    2568 C:\WINDOWS\system32\svchost.exe
    2172 C:\Programme\iPod\bin\iPodService.exe
    3672 C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
    3700 alg.exe
     676 C:\WINDOWS\system32\wuauclt.exe
    2304 C:\WINDOWS\system32\ctfmon.exe
    3052 C:\Dokumente und Einstellungen\Daniel\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000009`09125a00  (FAT32)

PhysicalDrive0 Model Number: FUJITSUMHV2080BHPL, Rev: 00000029

      Size  Device Name          MBR Status
  --------------------------------------------
     74 GB  \\.\PhysicalDrive0   Unknown MBR code
            SHA1: 77BE2714D92B5F9C61B0CA0F036F3C9BD45561FC


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice: Enter the physical disk number to dump (0-99, -1 to exit): 1Dumping \\.\PhysicalDisk1...
Enter filename to dump to: mbrcheckError opening disk (2)!

Enter the physical disk number to dump (0-99, -1 to exit): -1

Done!
         

Alt 25.04.2011, 20:17   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.
__________________
Logs bitte immer in CODE-Tags posten

Alt 25.04.2011, 22:14   #14
amda0011
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



Nee, hab nur das eine WindowsXP System drauf.
Hab die Befehle in der Konsole eingegeben und neugestartet, danach mbrcheck ausgeführt und hier das Log-File

Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 2 (build 2600)
Logical Drives Mask:		0x0000000c

Kernel Drivers (total 123):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E3000 \WINDOWS\system32\hal.dll
  0xF7B12000 \WINDOWS\system32\KDCOM.DLL
  0xF7A22000 \WINDOWS\system32\BOOTVID.dll
  0xF74E2000 ACPI.sys
  0xF7B14000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF74D1000 pci.sys
  0xF7612000 isapnp.sys
  0xF7622000 ohci1394.sys
  0xF7632000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7A26000 compbatt.sys
  0xF7A2A000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xF7BDA000 pciide.sys
  0xF7892000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF74B3000 pcmcia.sys
  0xF7642000 MountMgr.sys
  0xF7494000 ftdisk.sys
  0xF7A2E000 ACPIEC.sys
  0xF7BDB000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xF789A000 PartMgr.sys
  0xF7652000 VolSnap.sys
  0xF747C000 atapi.sys
  0xF7662000 disk.sys
  0xF7672000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF745D000 fltMgr.sys
  0xF744B000 sr.sys
  0xF7434000 KSecDD.sys
  0xF73A7000 Ntfs.sys
  0xF737A000 NDIS.sys
  0xF735F000 Mup.sys
  0xF7692000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF7AF2000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xF7872000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF6930000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xF691C000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF68F7000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF679A000 \SystemRoot\system32\DRIVERS\w39n51.sys
  0xF675E000 \SystemRoot\system32\DRIVERS\yk51x86.sys
  0xF7972000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF673B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF797A000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF6713000 \SystemRoot\system32\drivers\tifm21.sys
  0xF6702000 \SystemRoot\system32\DRIVERS\sdbus.sys
  0xF7882000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7982000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF66D3000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xF7B36000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF798A000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF6607000 \SystemRoot\system32\DRIVERS\btkrnl.sys
  0xF7D36000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF76A2000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7B06000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF65F0000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF76B2000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF76C2000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7992000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF65DF000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF76D2000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF799A000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF79A2000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF76E2000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7B38000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF65BC000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF6588000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7333000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF64FD000 \SystemRoot\system32\drivers\btaudio.sys
  0xF64D9000 \SystemRoot\system32\drivers\portcls.sys
  0xF76F2000 \SystemRoot\system32\drivers\drmk.sys
  0xF7702000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF441F000 \SystemRoot\system32\drivers\CHDAud.sys
  0xF43E5000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
  0xF42EE000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
  0xF4237000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
  0xF79AA000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF7752000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7B3E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7C88000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7B40000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF79DA000 \SystemRoot\System32\drivers\vga.sys
  0xF7B42000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7B44000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF79E2000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF79EA000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF6CAB000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xF34BC000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xF3464000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xF343C000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xF341B000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF33F9000 \SystemRoot\System32\drivers\afd.sys
  0xF7782000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF7792000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF79F2000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xF33CD000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xF77B2000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xF335E000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF77D2000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF77E2000 \SystemRoot\System32\Drivers\btwusb.sys
  0xF79FA000 \SystemRoot\system32\DRIVERS\btport.sys
  0xF3340000 \SystemRoot\system32\DRIVERS\btwdndis.sys
  0xF331A000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7B48000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF32CF000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xF32B7000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7B52000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF7AEA000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7A0A000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7BEE000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBA4AB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xF78CA000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xBA4EC000 \SystemRoot\system32\DRIVERS\s24trans.sys
  0xBA4D0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB9986000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB98A9000 \SystemRoot\system32\drivers\wdmaud.sys
  0xBA21B000 \SystemRoot\system32\drivers\sysaudio.sys
  0xF796A000 \??\C:\WINDOWS\system32\drivers\btserial.sys
  0xB8CE6000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
  0xB7FAF000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB952E000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
  0xB796C000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 53):
       0 System Idle Process
       4 System
     824 C:\WINDOWS\system32\smss.exe
     888 csrss.exe
     916 C:\WINDOWS\system32\winlogon.exe
     960 C:\WINDOWS\system32\services.exe
     972 C:\WINDOWS\system32\lsass.exe
    1164 C:\WINDOWS\system32\svchost.exe
    1212 svchost.exe
    1356 C:\WINDOWS\system32\svchost.exe
    1412 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    1448 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    1576 svchost.exe
    1720 svchost.exe
    1920 C:\WINDOWS\system32\spoolsv.exe
     152 C:\Programme\Avira\AntiVir Desktop\sched.exe
     232 svchost.exe
     836 C:\WINDOWS\explorer.exe
    1260 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    1296 C:\Programme\BenQ\Q-MediaBar\qbar.exe
    1304 C:\Programme\BenQ\QMusic2\QMAgent.exe
    1312 C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
    1332 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    1344 C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
    1376 C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
    1460 C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
    1504 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    1540 C:\Programme\Java\jre6\bin\jusched.exe
    1560 C:\Programme\iTunes\iTunesHelper.exe
    1584 C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
    1756 C:\WINDOWS\system32\ctfmon.exe
    1832 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    1848 C:\Programme\UltimateZip\uzqkst.exe
    2032 C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe
     512 C:\Programme\Avira\AntiVir Desktop\avguard.exe
     536 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    2040 C:\Programme\Application Updater\ApplicationUpdater.exe
     584 C:\Programme\Bonjour\mDNSResponder.exe
     616 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
     640 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
     648 C:\Programme\Java\jre6\bin\jqs.exe
     800 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
     136 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    1384 C:\WINDOWS\system32\nvsvc32.exe
    2176 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    2260 C:\WINDOWS\system32\svchost.exe
    2412 C:\WINDOWS\system32\wuauclt.exe
    3160 C:\Programme\iPod\bin\iPodService.exe
    3284 wmiprvse.exe
     364 alg.exe
     600 C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
    3756 C:\WINDOWS\system32\wuauclt.exe
    3780 C:\Dokumente und Einstellungen\Daniel\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000009`09125a00  (FAT32)

PhysicalDrive0 Model Number: FUJITSUMHV2080BHPL, Rev: 00000029

      Size  Device Name          MBR Status
  --------------------------------------------
     74 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!
         

Alt 26.04.2011, 10:42   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Kazy.mekml.1 am 21.4. leider eingefangen - Standard

TR/Kazy.mekml.1 am 21.4. leider eingefangen



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Sollten beide Tools nichts finden bzw. sollten nur Cookies und kleine Überreste gefunden werden, machst du dich umgehend an die Installation des SP3 und des IE8 ran!!

  1. Das SP3 von hier downloaden => Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler (und ja es ist das richtige Paket für dich)
  2. Alle Programme beenden, Internetverbindung trennen, Virenscanner abstellen!
  3. SP3 instalieren, Anweisungen folgen - Installation sollte ca. 15-20 Minuten dauern. Kann auch schneller gehen, bei älteren Rechnern dauert es ca. ne halbe Stunde - nach der Installation Rechner neu starten
  4. IE8-Setup laden und ausführen => Internet Explorer 8 herunterladen - Microsoft Windows

Achte beim Setup des IE8 wieder dadrauf, dass vorher möglichst alle Programme beendet und der Virenscanner deaktiviert wurde. Im Setup selbst bitte nicht an dem Verbesserungsprogramm teilnehmen (oder wie MS das nennt) und auch KEINE Updates über das Setup installieren. Die installieren wir später, ich sag dir dann wie. Melde dich wenn der IE8 drauf ist.
__________________
Logs bitte immer in CODE-Tags posten

Antwort

Themen zu TR/Kazy.mekml.1 am 21.4. leider eingefangen
0x00000001, 78.42.43.62, antivir, avgntflt.sys, avira, bho, bonjour, error, extras.txt, failed, fehler, firefox, flash player, format, helper, home, homepage, limewire, location, logfile, mozilla, oldtimer, otl.txt, pdfforge toolbar, plug-in, registry, rundll, safer networking, saver, scan, searchplugins, security, senden, server, shell32.dll, shortcut, software, spigot, starten, trojaner



Ähnliche Themen: TR/Kazy.mekml.1 am 21.4. leider eingefangen


  1. Leider auch TR/Kazy.mekml.1 - nach Malwarebytes keine Besserung in Sicht
    Plagegeister aller Art und deren Bekämpfung - 01.06.2011 (25)
  2. TR/Kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 23.05.2011 (35)
  3. Leider auch TR/kazy.mekml.1 erwischt?
    Log-Analyse und Auswertung - 19.05.2011 (1)
  4. TR/kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 19.05.2011 (18)
  5. TR/Kazy.merml.1 leider eingefangen
    Log-Analyse und Auswertung - 15.05.2011 (21)
  6. tr/kazy.mekml.1 leider auch bei mir
    Log-Analyse und Auswertung - 07.05.2011 (16)
  7. tr/kazy.mekml.1 leider hats mich auch betroffen
    Log-Analyse und Auswertung - 06.05.2011 (26)
  8. TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 06.05.2011 (1)
  9. TR/Kazy.mekml.1 leider auch hier
    Plagegeister aller Art und deren Bekämpfung - 06.05.2011 (1)
  10. Hab mir auch den TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 06.05.2011 (23)
  11. TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 02.05.2011 (9)
  12. Kazy.mekml.1 eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (15)
  13. TR/Kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 30.04.2011 (18)
  14. TR/Kazy.mekml.1 eingefangen! Und nun...?
    Log-Analyse und Auswertung - 29.04.2011 (6)
  15. Trojaner TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 29.04.2011 (5)
  16. Trojaner TR/kazy.mekml.1 eingefangen :-(
    Log-Analyse und Auswertung - 28.04.2011 (7)
  17. TR/Kazy.mekml.1 - leider wohl auch bei mir
    Plagegeister aller Art und deren Bekämpfung - 27.04.2011 (3)

Zum Thema TR/Kazy.mekml.1 am 21.4. leider eingefangen - Hallo, habe mir gestern leider auch den Trojaner Kazy.mekml.1 eingefangen. Habe gerade die Anleitung befolgt und hier die Log-Files von OTL und gmer. Hoffe ihr könnt mir helfen. Tausend Dank - TR/Kazy.mekml.1 am 21.4. leider eingefangen...
Archiv
Du betrachtest: TR/Kazy.mekml.1 am 21.4. leider eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.