Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Windows recovery Virus - bekämpft, aber noch Symptome

Windows recovery Virus - bekämpft, aber noch Symptome


Log-Analyse und Auswertung: Windows recovery Virus - bekämpft, aber noch Symptome

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Seite 1 von 2 1 2
Alt 28.04.2011, 20:14   #1
lumememm
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Liebe Trojanerfeinde,

vielen Dank bereits erst einmal für die bereits bestehenden Beiträge zum Thema "Windows recovery", dadurch konnte ich bereits Maßnahmen gegen die Infektion ergreifen. Dennoch scheinen nicht alle Symptome beseitigt zu sein, d.h. ich muss wohl noch etwas Arbeit in die Bereinigung des Virus stecken.

Nach der Infektion hatte ich Malwarebyte, Avira AntiVir und Spybot durchlaufen lassen - weiter unten die Ergebnisse der jeweils ersten Scans (weitere Scans waren dann jeweils sauber). Malwarebyte hatte ich nach dem Killen aller Prozesse mittels OTH.scr durchgeführt. Ich wollte mir auch die OTL.exe auf den Desktop laden, aber das funktioniert komischerweise nicht - die Datei wird nicht gespeichert. Falls ich also noch einen OTL log posten soll, bitte nochmal alternativ schreiben, wie ich das OTL in diesem Fall speichern kann.

Typische Symptome der Infektion wie verschwundene Dateien habe ich durch manuelles Löschen des "Versteckens" gelöst - allerdings ist meine Schnellstartleiste immer noch nicht wieder so wie vorher da, vielleicht ist das auch durch den Virus gelöscht worden. Momentan fallen mir noch Unregelmäßigkeiten im Internet auf: sowohl beim Internet-Explorer als auch beim Firefox, den ich mir gestern neu heruntergeladen habe, werden Suchen über google z.T. falsch abgeleitet und ich komme auf andere Adressen als beabsichtigt. Abenso sucht mir der Internetexplorer nebenbei noch auf dubiosen Seiten herum - sehe ich nur in meiner Historie. Bei der Firefoxchronik ist mir diesbezüglich noch nichts aufgefallen. Der IE will das auch, wenn ich offline bin, was meist der Fall ist - dann kommen Meldungen ala "diese Seite kann im Offlinemodus nicht angezeigt werden". Ich will den IE nicht mehr benutzen, fürchte aber, dass er im Hintergrund dennoch Aktivitäten starten könnte. Hab auch den Eindruck, dass IE und Firefox ziemlich lange brauchen, um sich zu öffnen.

Ich muss gestehen, dass die Infektion vermutlich durch einen nicht aktuellen AntiVir-Schutz nach dem Surfen in Facebook zustande gekommen ist - der Rechner hier wird nur gelegentlich benutzt und hat nur einen ISDN-Internetzugang. Ich weiß, keine Ausrede und ich werd versuchen, den zukünftig auf dem aktuellen Stand zu halten. Ich müßte auch ein Update von XP Servicepack 2 auf 3 vornehmen, aber die Ankündigung eines mehr als 12stündigen Downloads hatte mich gestern doch davon abgehalten.

So, ich hoffe die Empfehlungen zur vernünftigen Erstellung eines Beitrages weitgehend erfüllt zu haben und freue mich auf Antworten. Ich hoffe, gute Tipps zur Eliminierung der Restinfektion zu erhalten und bin auch für ergänzende Tipps zur Systemsicherheit dankbar, um zukünftigen Infektionen besser vorbeugen zu können.

Vielen Dank

Andreas

P.S.: falls ich etwas im abgesicherten Modus durchführen soll, bitte nochmal dazu schreiben, wie ich dort hinkomme


hier die Scans:

MALWAREBYTE (Quickscan - Vollscan brachte keine weiteren Resultate; inzwischen 5 Mal durchlaufen gelassen, keine Resultate mehr)

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6450

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

26.04.2011 23:19:56
mbam-log-2011-04-26 (23-19-56).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 134781
Laufzeit: 5 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel\Homepage (PUM.Hijack.HomePageControl) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\A\startmenü\programme\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\rsxwcwrakp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\A\Desktop\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\A\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\A\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.




AVIRA ANTIVIR

Avira AntiVir Personal
Report file date: Dienstag, 26. April 2011 22:15

Scanning for 2610132 virus strains and unwanted programs.

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 2) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : WXPHPC1

Version information:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 10:04:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:33
AVSCAN.DLL : 9.0.3.0 40705 Bytes 27.02.2009 09:58:24
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:49
LUKERES.DLL : 9.0.2.0 12033 Bytes 27.02.2009 09:58:52
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 20:14:16
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 20:14:16
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 20:14:16
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 20:14:16
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 20:14:16
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 20:14:16
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 20:14:16
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 20:14:16
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 20:14:16
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 20:14:16
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 20:14:16
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 20:14:16
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 20:14:16
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 20:14:16
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 20:14:16
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 20:14:16
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 20:14:16
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 20:14:16
VBASE019.VDF : 7.11.6.238 2048 Bytes 22.04.2011 20:14:16
VBASE020.VDF : 7.11.6.239 2048 Bytes 22.04.2011 20:14:16
VBASE021.VDF : 7.11.6.240 2048 Bytes 22.04.2011 20:14:16
VBASE022.VDF : 7.11.6.241 2048 Bytes 22.04.2011 20:14:16
VBASE023.VDF : 7.11.6.242 2048 Bytes 22.04.2011 20:14:16
VBASE024.VDF : 7.11.6.243 2048 Bytes 22.04.2011 20:14:16
VBASE025.VDF : 7.11.6.244 2048 Bytes 22.04.2011 20:14:16
VBASE026.VDF : 7.11.6.245 2048 Bytes 22.04.2011 20:14:16
VBASE027.VDF : 7.11.6.246 2048 Bytes 22.04.2011 20:14:16
VBASE028.VDF : 7.11.6.247 2048 Bytes 22.04.2011 20:14:16
VBASE029.VDF : 7.11.6.248 2048 Bytes 22.04.2011 20:14:16
VBASE030.VDF : 7.11.6.249 2048 Bytes 22.04.2011 20:14:16
VBASE031.VDF : 7.11.7.20 193024 Bytes 26.04.2011 20:14:17
Engineversion : 8.2.4.214
AEVDF.DLL : 8.1.2.1 106868 Bytes 26.04.2011 20:14:17
AESCRIPT.DLL : 8.1.3.59 1261947 Bytes 26.04.2011 20:14:17
AESCN.DLL : 8.1.7.2 127349 Bytes 26.04.2011 20:14:17
AESBX.DLL : 8.1.3.2 254324 Bytes 26.04.2011 20:14:17
AERDL.DLL : 8.1.9.9 639347 Bytes 26.04.2011 20:14:17
AEPACK.DLL : 8.2.6.0 549237 Bytes 26.04.2011 20:14:17
AEOFFICE.DLL : 8.1.1.20 205177 Bytes 26.04.2011 20:14:17
AEHEUR.DLL : 8.1.2.105 3453303 Bytes 26.04.2011 20:14:17
AEHELP.DLL : 8.1.16.1 246134 Bytes 26.04.2011 20:14:17
AEGEN.DLL : 8.1.5.4 397684 Bytes 26.04.2011 20:14:17
AEEMU.DLL : 8.1.3.0 393589 Bytes 26.04.2011 20:14:17
AECORE.DLL : 8.1.20.2 196982 Bytes 26.04.2011 20:14:17
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2011 20:14:17
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:59
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:14:02
AVREP.DLL : 10.0.0.9 174120 Bytes 26.04.2011 20:14:17
AVREG.DLL : 9.0.0.0 36609 Bytes 05.12.2008 09:32:09
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:41
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:08
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:33
NETNT.DLL : 9.0.0.0 11521 Bytes 05.12.2008 09:32:10
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:39:58
RCTEXT.DLL : 9.0.73.0 86785 Bytes 13.10.2009 11:25:47

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\programme\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: off
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: Dienstag, 26. April 2011 22:15

Starting search for hidden objects.
'25109' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'WLLoginProxy.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'NMSSvc.Exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'InCD.exe' - '1' Module(s) have been scanned
Scan process 'iTouch.exe' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'PROMon.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'InCDsrv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
30 processes with 30 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '58' files ).


Starting the file scan:

Begin scan in 'C:\' <LAUFWERK_C>
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19062580.exe
[DETECTION] Is the TR/Kazy.mekml.1 Trojan
Begin scan in 'D:\' <LAUFWERK_D>

Beginning disinfection:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19062580.exe
[DETECTION] Is the TR/Kazy.mekml.1 Trojan
[NOTE] The file was moved to '4de72f38.qua'!


End of the scan: Dienstag, 26. April 2011 22:45
Used time: 29:49 Minute(s)

The scan has been done completely.

3276 Scanned directories
172795 Files were scanned
1 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
1 Files were moved to quarantine
0 Files were renamed
1 Files cannot be scanned
172793 Files not concerned
2135 Archives were scanned
1 Warnings
2 Notes
25109 Objects were scanned with rootkit scan
0 Hidden objects were found


SPYBOT (heute 2 Probleme mit Fake.WindowsRecovery in der Registry gefunden- lt. Malwarebyte und Avira war der Rechner bereits sauber)

Spybot - Search && Destroy process list report, 28.04.2011 20:46:20

PID: 0 ( 0) [System]
PID: 4 ( 0) System
PID: 152 (1472) C:\WINDOWS\system32\ctfmon.exe
PID: 244 ( 760) C:\WINDOWS\system32\svchost.exe
PID: 516 (1472) C:\Programme\Teledat\IWatch.exe
PID: 616 ( 4) \SystemRoot\System32\smss.exe
PID: 692 ( 616) csrss.exe
PID: 716 ( 616) \??\C:\WINDOWS\system32\winlogon.exe
PID: 760 ( 716) C:\WINDOWS\system32\services.exe
PID: 772 ( 716) C:\WINDOWS\system32\lsass.exe
PID: 944 ( 760) C:\WINDOWS\system32\svchost.exe
PID: 1000 ( 760) svchost.exe
PID: 1040 ( 760) C:\WINDOWS\System32\svchost.exe
PID: 1060 ( 760) C:\Programme\Ahead\InCD\InCDsrv.exe
PID: 1316 ( 760) svchost.exe
PID: 1328 (1472) C:\Programme\Mozilla Firefox\firefox.exe
PID: 1364 ( 760) svchost.exe
PID: 1472 (1412) C:\WINDOWS\Explorer.EXE
PID: 1600 ( 760) C:\WINDOWS\system32\spoolsv.exe
PID: 1684 ( 760) C:\Programme\Avira\AntiVir Desktop\sched.exe
PID: 1808 (1472) C:\WINDOWS\system32\PROMon.exe
PID: 1836 (1472) C:\WINDOWS\SOUNDMAN.EXE
PID: 1844 (1472) C:\Programme\Logitech\iTouch\iTouch.exe
PID: 1856 ( 760) C:\Programme\Avira\AntiVir Desktop\avguard.exe
PID: 1888 (1472) C:\Programme\Ahead\InCD\InCD.exe
PID: 1924 (1472) C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PID: 1980 (1472) C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
PID: 2204 ( 760) alg.exe
PID: 3204 (1040) C:\WINDOWS\system32\wuauclt.exe
PID: 3408 (1924) c:\programme\avira\antivir desktop\avcenter.exe
PID: 3544 (1040) C:\WINDOWS\system32\wuauclt.exe
PID: 3724 (1472) C:\Programme\SICHERHEIT\Search & Destroy\SpybotSD.exe


--- Browser start & search pages list ---
Spybot - Search && Destroy browser pages report, 28.04.2011 20:46:20

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINDOWS\SYSTEM32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
hxxp://www.google.de/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
%SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
about:blank
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
about:blank
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
about:blank


--- Winsock Layered Service Provider list ---
Protocol 0: MSAFD Tcpip [TCP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip[*]

Protocol 1: MSAFD Tcpip [UDP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip[*]

Protocol 2: MSAFD Tcpip [RAW/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip[*]

Protocol 3: RSVP UDP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 4: RSVP TCP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 5: MSAFD NetBIOS [\Device\NetBT_Tcpip_{37086CBC-85C3-42C7-8235-36C3242065A7}] SEQPACKET 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{37086CBC-85C3-42C7-8235-36C3242065A7}] DATAGRAM 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F343ECD4-8047-4489-8B16-45E7ADE96822}] SEQPACKET 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F343ECD4-8047-4489-8B16-45E7ADE96822}] DATAGRAM 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{6DC90313-4B05-4ACD-906F-969F509AFA40}] SEQPACKET 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{6DC90313-4B05-4ACD-906F-969F509AFA40}] DATAGRAM 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{758AD798-148B-4266-8FA8-098EF7C5CED6}] SEQPACKET 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{758AD798-148B-4266-8FA8-098EF7C5CED6}] DATAGRAM 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 13: MSAFD NetBIOS [\Device\NetBT_Tcpip_{95D05031-2A0E-4979-BE5B-E800817BE2D8}] SEQPACKET 4
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 14: MSAFD NetBIOS [\Device\NetBT_Tcpip_{95D05031-2A0E-4979-BE5B-E800817BE2D8}] DATAGRAM 4
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Namespace Provider 0: TCP/IP
GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP TCP/IP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: TCP/IP

Namespace Provider 1: NTDS
GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
Filename: %SystemRoot%\System32\winrnr.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\winrnr.dll
DB protocol: NTDS

Namespace Provider 2: NLA-Namespace
GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: NLA-Namespace

Alt 30.04.2011, 03:00   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Hallo und

Bitte mal dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________

__________________
Alt 30.04.2011, 10:50   #3
lumememm
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Hallo Arne,
vielen Dank erstmal für Deine Antwort. Leider gibt es Schwierigkeiten, die von Dir genannten Maßnahmen durchzuführen. Zunächst einmal kann ich keine exe-Dateien herunterladen. Habe Desktop, andere Ort und USB-Stick versucht - es wird nichts gespeichert. Da andere Dateien (Word, Excel, Adobe etc.) problemlos herunterladbar sind, hab ich schließlich die Dateien als xls-Datei heruntergeladen und wieder zurückbenannt. Liegt evtl. an irgendwelchen Sicherheitseinstellungen? Hatte allerdings auch per OTH alle Prozesse beendet und versucht herunterzuladen, ging auch nicht. Jedenfalls konnte ich den unhide.exe ausführen, wobei ich manuell bereits meine Dateien wieder sichtbar gemacht hatte, konnte da jetzt keine Veränderungen mehr feststellen. Die Schnellstartleiste kam nicht wieder mit ihren ursprünglichen Symbolen zurück, ist aber nicht so dramatisch, das kann ich manuell schnell wieder einstellen.
Das Kaspersky-Tool konnte leider nicht ausgeführt werden, weder vom Desktop noch von anderen Speicherorten, auch nach OTH nicht. Irgendwelche Ideen woran das liegen kann?
Habe unabhängig davon Malwarebyte durchlaufen lassen - kein Fund. Lass jetzt auch nochmal Antivir und Spybot durchlaufen, vermute aber, dass dort auch nichts kommt. Momentan außer o.g. Verwunderlichkeiten auch keine Auffälligkeiten, Internet funktioniert im Firefox normal, keine versteckten Suchen im Internet-Explorer. Könnte am Fund von Spybot gelegen haben. Dennoch würde ich gern das Kaspersky-Tool probieren, was kann ich machen, damit es klappt?
Viele Grüße
Andreas
__________________
Alt 30.04.2011, 12:46   #4
lumememm
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Hallo, ich noch einmal.
Der Scan mit Spybot brachte keine Ergebnisse - allerdings fand Avira AntiVir doch einen Virus, im Java (Scan unter dem Text). Habe daraufhin im Forum nach Maßnahmen gesucht und es scheint, dass Java wohl besonders anfällig ist - habe mein Java komplett deinstalliert und werd irgendwann die aktuelle Version herunterladen. Interessant ist, dass der Java-Virus ganz frisch sein muss, taucht erst im Avira-Update vom 27.4. auf, meines war vom 26.4. Habe daher mein Updateintervall nun von wöchentlich auf täglich geändert, trotz sehr langsamen ISDN-Zugangs :-(
OTL konnte über über den Umweg xls-Datei herunterladen und der Scan funktionierte, siehe beide Protokolle am Ende.
Bei Firefox trat jetzt doch wieder eine Weiterleitung auf Seiten auf, die ich nicht aufgerufen hab, woran liegt das nur? Irgendwas bösartiges steckt da noch dahinter...
Hoffe, auf der Basis der Scans können einige Empfehlungen gegeben werden.
Viele Grüße
Andreas

Avira Antivir-Scan:

Avira AntiVir Personal
Report file date: Samstag, 30. April 2011 12:41

Scanning for 2646187 virus strains and unwanted programs.

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 2) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : WXPHPC1

Version information:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 10:04:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:33
AVSCAN.DLL : 9.0.3.0 40705 Bytes 27.02.2009 09:58:24
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:49
LUKERES.DLL : 9.0.2.0 12033 Bytes 27.02.2009 09:58:52
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 20:14:16
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 20:14:16
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 20:14:16
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 20:14:16
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 20:14:16
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 20:14:16
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 20:14:16
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 20:14:16
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 20:14:16
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 20:14:16
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 20:14:16
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 20:14:16
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 20:14:16
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 20:14:16
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 20:14:16
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 20:14:16
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 20:14:16
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 20:14:16
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 10:35:49
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 10:36:15
VBASE021.VDF : 7.11.7.65 2048 Bytes 28.04.2011 10:36:15
VBASE022.VDF : 7.11.7.66 2048 Bytes 28.04.2011 10:36:15
VBASE023.VDF : 7.11.7.67 2048 Bytes 28.04.2011 10:36:16
VBASE024.VDF : 7.11.7.68 2048 Bytes 28.04.2011 10:36:16
VBASE025.VDF : 7.11.7.69 2048 Bytes 28.04.2011 10:36:17
VBASE026.VDF : 7.11.7.70 2048 Bytes 28.04.2011 10:36:17
VBASE027.VDF : 7.11.7.71 2048 Bytes 28.04.2011 10:36:18
VBASE028.VDF : 7.11.7.72 2048 Bytes 28.04.2011 10:36:18
VBASE029.VDF : 7.11.7.73 2048 Bytes 28.04.2011 10:36:18
VBASE030.VDF : 7.11.7.74 2048 Bytes 28.04.2011 10:36:19
VBASE031.VDF : 7.11.7.89 92672 Bytes 30.04.2011 10:36:31
Engineversion : 8.2.4.224
AEVDF.DLL : 8.1.2.1 106868 Bytes 26.04.2011 20:14:17
AESCRIPT.DLL : 8.1.3.59 1261947 Bytes 26.04.2011 20:14:17
AESCN.DLL : 8.1.7.2 127349 Bytes 26.04.2011 20:14:17
AESBX.DLL : 8.1.3.2 254324 Bytes 26.04.2011 20:14:17
AERDL.DLL : 8.1.9.9 639347 Bytes 26.04.2011 20:14:17
AEPACK.DLL : 8.2.6.0 549237 Bytes 26.04.2011 20:14:17
AEOFFICE.DLL : 8.1.1.21 205179 Bytes 30.04.2011 10:40:06
AEHEUR.DLL : 8.1.2.112 3473784 Bytes 30.04.2011 10:39:53
AEHELP.DLL : 8.1.16.1 246134 Bytes 26.04.2011 20:14:17
AEGEN.DLL : 8.1.5.4 397684 Bytes 26.04.2011 20:14:17
AEEMU.DLL : 8.1.3.0 393589 Bytes 26.04.2011 20:14:17
AECORE.DLL : 8.1.20.2 196982 Bytes 26.04.2011 20:14:17
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2011 20:14:17
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:59
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:14:02
AVREP.DLL : 10.0.0.9 174120 Bytes 26.04.2011 20:14:17
AVREG.DLL : 9.0.0.0 36609 Bytes 05.12.2008 09:32:09
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:41
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:08
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:33
NETNT.DLL : 9.0.0.0 11521 Bytes 05.12.2008 09:32:10
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:39:58
RCTEXT.DLL : 9.0.73.0 86785 Bytes 13.10.2009 11:25:47

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\programme\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: off
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: Samstag, 30. April 2011 12:41

Starting search for hidden objects.
'24956' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'IWatch.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'InCD.exe' - '1' Module(s) have been scanned
Scan process 'iTouch.exe' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'NMSSvc.Exe' - '1' Module(s) have been scanned
Scan process 'PROMon.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'InCDsrv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
28 processes with 28 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '56' files ).


Starting the file scan:

Begin scan in 'C:\' <LAUFWERK_C>
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\Dokumente und Einstellungen\A\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\mario.jar-41fcb478-39f08eaa.zip
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BK.2 Java virus
--> advert/market_patch.class
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BK.2 Java virus
--> search/market.class
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BO.1 Java virus
--> search/parser.class
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BJ.3 Java virus
--> search/searchers.class
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BK.3 Java virus
Begin scan in 'D:\' <LAUFWERK_D>

Beginning disinfection:
C:\Dokumente und Einstellungen\A\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\mario.jar-41fcb478-39f08eaa.zip
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BK.2 Java virus
[NOTE] The file was moved to '4e2df144.qua'!


End of the scan: Samstag, 30. April 2011 13:22
Used time: 40:14 Minute(s)

The scan has been done completely.

3529 Scanned directories
211089 Files were scanned
5 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
1 Files were moved to quarantine
0 Files were renamed
1 Files cannot be scanned
211083 Files not concerned
7600 Archives were scanned
1 Warnings
2 Notes
24956 Objects were scanned with rootkit scan
0 Hidden objects were found





OTL.TxtOTL Logfile:
Code:
ATTFilter
OTL logfile created on: 30.04.2011 13:25:07 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Dokumente und Einstellungen\A\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 299,00 Mb Available Physical Memory | 58,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 766 4096 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 9,77 Gb Total Space | 1,33 Gb Free Space | 13,66% Space Free | Partition Type: NTFS
Drive D: | 27,50 Gb Total Space | 0,85 Gb Free Space | 3,09% Space Free | Partition Type: NTFS
 
Computer Name: WXPHPC1 | User Name: A | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.04.30 13:15:43 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\A\Desktop\OTL.exe
PRC - [2009.07.21 14:34:33 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 16:48:22 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 13:08:47 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2005.01.03 12:41:04 | 001,385,472 | ---- | M] (Nero AG) -- C:\Programme\Ahead\InCD\InCD.exe
PRC - [2005.01.03 12:40:41 | 000,854,528 | ---- | M] (Nero AG) -- C:\Programme\Ahead\InCD\InCDsrv.exe
PRC - [2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2002.09.11 04:57:20 | 000,046,592 | ---- | M] (Avance Logic, Inc.) -- C:\WINDOWS\SOUNDMAN.EXE
PRC - [2002.08.06 06:02:00 | 000,339,968 | ---- | M] () -- C:\Programme\Teledat\IWatch.exe
PRC - [2002.05.03 12:36:24 | 001,118,208 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\NMSSvc.Exe
PRC - [2002.04.18 18:32:36 | 000,073,728 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\PROMon.exe
PRC - [2001.12.20 01:59:00 | 000,204,800 | ---- | M] (Logitech Inc.                    ) -- C:\Programme\Logitech\iTouch\iTouch.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.04.30 13:15:43 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\A\Desktop\OTL.exe
MOD - [2006.08.25 17:46:44 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - File not found [On_Demand | Stopped] --  -- (AppMgmt)
SRV - [2009.07.21 14:34:33 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:22 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2005.01.03 12:40:41 | 000,854,528 | ---- | M] (Nero AG) [Auto | Stopped] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrvR) InCD Helper (read only)
SRV - [2005.01.03 12:40:41 | 000,854,528 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrv)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2002.05.03 12:36:24 | 001,118,208 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\WINDOWS\system32\NMSSvc.Exe -- (NMSSvc) Intel(R)
SRV - [2002.02.21 13:05:36 | 000,196,688 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe -- (de_serv)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.12.24 13:44:28 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 10:12:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:33:07 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 12:35:05 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2005.01.03 12:33:18 | 000,027,776 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\InCDrm.sys -- (incdrm)
DRV - [2005.01.03 11:33:44 | 000,099,456 | ---- | M] (Nero AG) [File_System | Disabled | Running] -- C:\WINDOWS\System32\drivers\InCDfs.sys -- (InCDfs)
DRV - [2005.01.03 11:33:24 | 000,028,928 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDpass.sys -- (InCDPass)
DRV - [2004.08.04 00:08:22 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2004.06.09 03:00:00 | 000,547,840 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fxusbase.sys -- (FXUSBASE) Teledat USB 2 a/b (WinXP/2000)
DRV - [2004.06.09 03:00:00 | 000,053,120 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2002.09.16 12:25:02 | 000,941,516 | ---- | M] (Avance Logic, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Avance AC97 Audio (WDM)
DRV - [2002.05.03 12:36:44 | 000,009,868 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NMSCFG.SYS -- (NMSCFG)
DRV - [2002.02.21 13:05:36 | 000,259,072 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETPPPOI.SYS -- (NETPPPOI)
DRV - [2001.12.19 11:42:00 | 000,067,694 | ---- | M] (Logitech) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouFlt2.sys -- (LMouFlt2)
DRV - [2001.12.19 11:42:00 | 000,050,990 | ---- | M] (Logitech) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\L8042Pr2.sys -- (l8042pr2)
DRV - [2001.12.19 11:42:00 | 000,022,206 | ---- | M] (Logitech) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHIDFLT2.SYS -- (LHidFlt2)
DRV - [2001.12.19 11:42:00 | 000,005,838 | ---- | M] (Logitech) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LKbdFlt2.sys -- (LKbdFlt2)
DRV - [2001.12.17 11:42:00 | 000,010,496 | ---- | M] (Logitech Inc.                    ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\itchfltr.sys -- (itchfltr)
DRV - [2001.10.23 02:00:00 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\avmport.sys -- (AVMPORT)
DRV - [2001.08.17 15:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
DRV - [2001.02.12 21:02:26 | 000,047,616 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TDSLAdap.sys -- (TDSLAdapter) T-DSL-Adapter (T-Online)
DRV - [2001.02.12 21:02:26 | 000,006,688 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TDSLProt.sys -- (TDSLProtocol) T-DSL-Protocol  (T-Online)
DRV - [2000.10.15 18:38:54 | 000,016,068 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\Programme\T-Online\T-DSL Treiber\Pcandis5.sys -- (PCANDIS5)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "www.google.de"
 
FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.04.27 19:34:59 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2011.04.27 19:35:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Mozilla\Extensions
[2011.04.30 11:08:10 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Mozilla\Firefox\Profiles\pvqp81ey.default\extensions
[2011.04.27 19:44:11 | 000,000,000 | ---D | M] ("Xmarks") -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Mozilla\Firefox\Profiles\pvqp81ey.default\extensions\foxmarks@kei.com
[2011.04.27 19:34:59 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) -- 
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\A\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\PVQP81EY.DEFAULT\EXTENSIONS\{73A6FE31-595D-460B-A920-FCC0F8843232}.XPI
[2011.03.18 19:56:37 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.04.28 10:19:02 | 000,433,290 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	007guard.com - 007guard and Free Antivirus
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	Avast | Cash Advance | Debt Consolidation | Insurance | Free Credit Report at 0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com - Informationen zum Thema Sex links. Diese Website steht zum Verkauf!
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 14911 more lines...
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [EM_EXEC] C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE (Logitech Inc.                    )
O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [PROMon.exe] C:\WINDOWS\System32\PROMon.exe (Intel Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Avance Logic, Inc.)
O4 - HKLM..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe (Logitech Inc.                    )
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Fax.lnk.disabled ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Fon.lnk.disabled ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe (VR-NetWorld Software)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O12 - Plugin for: .mid - C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll (Apple Computer, Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230129776734 (WUWebControl Class)
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} hxxp://www.album.de/ImageUploader3.cab (Aurigma Image Uploader 3.5 Control)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.04.04 11:55:45 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.04.30 13:15:18 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\A\Desktop\OTL.exe
[2011.04.30 11:12:38 | 001,377,112 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\A\Desktop\tdsskiller.exe
[2011.04.29 19:25:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\A\Recent
[2011.04.28 21:54:53 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft CAPICOM 2.1.0.2
[2011.04.28 10:07:09 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2011.04.28 09:38:03 | 000,000,000 | ---D | C] -- C:\Programme\Misc. Support Library (Spybot - Search & Destroy)
[2011.04.28 09:38:03 | 000,000,000 | ---D | C] -- C:\Programme\File Scanner Library (Spybot - Search & Destroy)
[2011.04.28 09:33:43 | 000,000,000 | ---D | C] -- C:\Programme\SDHelper (Spybot - Search & Destroy)
[2011.04.28 09:33:41 | 000,000,000 | ---D | C] -- C:\Programme\TeaTimer (Spybot - Search & Destroy)
[2011.04.27 19:37:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\TEMP
[2011.04.27 19:36:06 | 000,000,000 | ---D | C] -- D:\Eigene Dateien\Downloads
[2011.04.27 19:35:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2011.04.27 19:35:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Mozilla
[2011.04.27 19:34:58 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2011.04.27 18:39:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\AdobeUM
[2011.04.27 14:09:32 | 000,274,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll
[2011.04.27 14:09:32 | 000,017,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll.mui
[2011.04.26 23:04:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Malwarebytes
[2011.04.26 23:04:44 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.04.26 23:04:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.04.26 22:51:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2011.04.26 22:46:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.04.30 13:15:43 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\A\Desktop\OTL.exe
[2011.04.30 11:35:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.04.30 11:14:01 | 001,377,112 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\A\Desktop\tdsskiller.exe
[2011.04.28 21:54:08 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.04.28 10:19:02 | 000,433,290 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.04.28 10:17:55 | 000,433,290 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110428-101902.backup
[2011.04.27 19:35:09 | 000,000,000 | ---- | M] () -- C:\WINDOWS\nsreg.dat
[2011.04.27 19:35:01 | 000,000,706 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.04.26 10:41:08 | 000,177,152 | ---- | M] () -- C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.04.25 14:58:48 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.04.02 19:23:18 | 000,405,448 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.04.02 19:23:18 | 000,392,432 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.04.02 19:23:18 | 000,070,778 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.04.02 19:23:18 | 000,058,732 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.04.27 19:35:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.04.27 19:35:01 | 000,000,712 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2011.04.27 19:35:01 | 000,000,706 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2007.12.22 17:45:12 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.08.04 16:15:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\asym.ini
[2006.04.30 20:12:42 | 000,000,024 | ---- | C] () -- C:\WINDOWS\4EVER.INI
[2006.02.23 16:00:53 | 000,032,397 | ---- | C] () -- C:\WINDOWS\SGTBox.INI
[2006.02.22 12:20:41 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.02.21 20:25:52 | 000,006,656 | ---- | C] () -- C:\WINDOWS\System32\CNMVS58.DLL
[2005.04.04 18:25:56 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\Iyvu9_32.dll
[2005.04.04 18:12:20 | 000,000,385 | ---- | C] () -- C:\WINDOWS\BkcEmu.ini
[2005.04.04 18:07:49 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2005.04.04 16:17:05 | 000,001,168 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.04.04 16:17:05 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2005.04.04 16:17:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NSREX.INI
[2005.04.04 16:04:30 | 000,177,152 | ---- | C] () -- C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.04.04 15:56:51 | 001,513,984 | ---- | C] () -- C:\WINDOWS\System32\Mgxrdr80.dll
[2005.04.04 15:56:47 | 000,338,944 | ---- | C] () -- C:\WINDOWS\System32\LFFPX7.DLL
[2005.04.04 15:56:47 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\LFKODAK.DLL
[2005.04.04 15:56:25 | 000,064,000 | ---- | C] () -- C:\WINDOWS\System32\Ppiv30.dll
[2005.04.04 15:56:24 | 000,000,986 | ---- | C] () -- C:\WINDOWS\Mgxclean.sys
[2005.04.04 15:56:24 | 000,000,100 | ---- | C] () -- C:\WINDOWS\MGXCLEAN.DAT
[2005.04.04 15:28:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI
[2005.04.04 14:51:19 | 000,109,056 | ---- | C] () -- C:\WINDOWS\System32\LGUICOM.DLL
[2005.04.04 14:51:19 | 000,000,468 | ---- | C] () -- C:\WINDOWS\Cmousecc.ini
[2005.04.04 12:45:11 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.04.04 12:43:53 | 000,200,144 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2005.04.04 12:31:23 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2005.04.04 11:58:21 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2005.04.04 11:52:46 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.08.04 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,405,448 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,392,432 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,070,778 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,058,732 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 14:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2004.08.04 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2002.03.26 09:36:48 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\PROInst.dll
[2002.02.06 09:04:14 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\NMSInst.dll



Extras.Txt

OTL Extras logfile created on: 30.04.2011 13:25:08 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Dokumente und Einstellungen\A\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 299,00 Mb Available Physical Memory | 58,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 766 4096 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 9,77 Gb Total Space | 1,33 Gb Free Space | 13,66% Space Free | Partition Type: NTFS
Drive D: | 27,50 Gb Total Space | 0,85 Gb Free Space | 3,09% Space Free | Partition Type: NTFS
 
Computer Name: WXPHPC1 | User Name: A | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htafile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{036AA4D4-6D32-11D4-9875-00105ACE7734}" = Logitech iTouch Software
"{2B091530-69AA-442E-AB09-39ED06B58220}" = Windows Live Messenger
"{2C164906-E68F-462A-9010-70DD022223EF}" = RemoteCapture Task 1.0.2
"{2F81FBFC-9A37-431F-9050-14B55485DF5A}" = Internet Library
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{511A5609-446A-11D5-9FA6-0060087051D5}" = T-DSL Treiber
"{5809E7CF-4DCF-11D4-9875-00105ACE7734}" = Logitech MouseWare 9.42 .1
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6EC5D2BB-C70D-4A1E-9E0E-384568CA5E97}" = Intel(R) PRO Intelligent Installer
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}" = Windows Live installer
"{8815F011-43AF-4F50-BBD8-D78ED3D6F5B9}" = VR-NetWorld
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9518F764-C54D-47B2-9E73-154B21E79FD2}" = RAW Image Task 1.0
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-A00000000001}" = Adobe Reader 6.0.1 - Deutsch
"{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}" = Windows Live Anmelde-Assistent
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B9B9863A-32FD-4133-ADB7-46244ED77694}" = Camera Support Core Library
"{BEF56F2D-56ED-4176-BF72-7B68D4A3B98D}" = Canon PhotoRecord
"{C1D76D7A-F3BB-47EA-A746-5B1E2FFC1DF2}" = Canon Utilities ZoomBrowser EX
"{CBE0FCA1-4E95-11D4-9875-00105ACE7734}" = Logitech-Handbuch
"{D2FEBD11-E587-4C41-AD33-0CD90D26A964}" = Client für die Windows-Rechteverwaltung mit Service Pack 2
"{DE286975-ACF1-45B8-9EF7-34E162B2C817}" = MovieEdit Task
"{EC905264-BCFE-423B-9C42-C3A106266790}" = Rückwärtskompatibilität des Clients für die Windows-Rechteverwaltung SP2
"{EF4C7EB0-D71B-43A3-9552-8053DE4B0401}" = PhotoStitch
"{F37942A8-B21B-4C5A-A1D2-B676BF55EAE0}" = Camera Window
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Avance AC'97 Audio
"Ad-Aware SE Personal" = Ad-Aware SE Personal
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon ScanGear Toolbox CS" = Canon ScanGear Toolbox CS 2.2
"Encarta Weltatlas 2.0" = Microsoft Encarta Weltatlas
"Encarta99D" = Microsoft Encarta 99 Enzyklopädie
"HijackThis" = HijackThis 1.99.1
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Indeo® software" = Indeo® software
"InstallShield_{2C164906-E68F-462A-9010-70DD022223EF}" = Canon RemoteCapture Task for ZoomBrowser EX
"InstallShield_{2F81FBFC-9A37-431F-9050-14B55485DF5A}" = Canon Internet Library for ZoomBrowser EX
"InstallShield_{9518F764-C54D-47B2-9E73-154B21E79FD2}" = Canon RAW Image Task for ZoomBrowser EX
"InstallShield_{B9B9863A-32FD-4133-ADB7-46244ED77694}" = Canon Camera Support Core Library
"InstallShield_{DE286975-ACF1-45B8-9EF7-34E162B2C817}" = Canon MovieEdit Task for ZoomBrowser EX
"InstallShield_{EF4C7EB0-D71B-43A3-9552-8053DE4B0401}" = Canon Utilities PhotoStitch 3.1
"InstallShield_{F37942A8-B21B-4C5A-A1D2-B676BF55EAE0}" = Canon Camera Window for ZoomBrowser EX
"ISDNWatch" = ISDNWatch
"Language pack for Ad-Aware SE" = Language pack for Ad-Aware SE
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Micrografx Picture Publisher 8" = Micrografx Picture Publisher 8
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Mozilla Firefox 4.0 (x86 de)" = Mozilla Firefox 4.0 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PROSet" = Intel(R) PRO Ethernet Adapter and Software
"QuickTime" = QuickTime
"Registry First Aid_is1" = Registry First Aid
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.3
"Teledat 150" = Teledat 150
"TeledatKonf" = Teledat USB 2 a/b Konfiguration
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 26.04.2011 04:53:59 | Computer Name = WXPHPC1 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 26.04.2011 04:53:59 | Computer Name = WXPHPC1 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ System Events ]
Error - 30.04.2011 07:21:51 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:51 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:51 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:51 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
 
< End of report >
--- --- ---
Alt 30.04.2011, 12:46   #5
lumememm
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Hallo, ich noch einmal.
Der Scan mit Spybot brachte keine Ergebnisse - allerdings fand Avira AntiVir doch einen Virus, im Java (Scan unter dem Text). Habe daraufhin im Forum nach Maßnahmen gesucht und es scheint, dass Java wohl besonders anfällig ist - habe mein Java komplett deinstalliert und werd irgendwann die aktuelle Version herunterladen. Interessant ist, dass der Java-Virus ganz frisch sein muss, taucht erst im Avira-Update vom 27.4. auf, meines war vom 26.4. Habe daher mein Updateintervall nun von wöchentlich auf täglich geändert, trotz sehr langsamen ISDN-Zugangs :-(
OTL konnte über über den Umweg xls-Datei herunterladen und der Scan funktionierte, siehe beide Protokolle am Ende.
Bei Firefox trat jetzt doch wieder eine Weiterleitung auf Seiten auf, die ich nicht aufgerufen hab, woran liegt das nur? Irgendwas bösartiges steckt da noch dahinter...
Hoffe, auf der Basis der Scans können einige Empfehlungen gegeben werden.
Viele Grüße
Andreas

Avira Antivir-Scan:

Avira AntiVir Personal
Report file date: Samstag, 30. April 2011 12:41

Scanning for 2646187 virus strains and unwanted programs.

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 2) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : WXPHPC1

Version information:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 10:04:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:33
AVSCAN.DLL : 9.0.3.0 40705 Bytes 27.02.2009 09:58:24
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:49
LUKERES.DLL : 9.0.2.0 12033 Bytes 27.02.2009 09:58:52
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 20:14:16
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 20:14:16
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 20:14:16
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 20:14:16
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 20:14:16
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 20:14:16
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 20:14:16
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 20:14:16
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 20:14:16
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 20:14:16
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 20:14:16
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 20:14:16
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 20:14:16
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 20:14:16
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 20:14:16
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 20:14:16
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 20:14:16
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 20:14:16
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 10:35:49
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 10:36:15
VBASE021.VDF : 7.11.7.65 2048 Bytes 28.04.2011 10:36:15
VBASE022.VDF : 7.11.7.66 2048 Bytes 28.04.2011 10:36:15
VBASE023.VDF : 7.11.7.67 2048 Bytes 28.04.2011 10:36:16
VBASE024.VDF : 7.11.7.68 2048 Bytes 28.04.2011 10:36:16
VBASE025.VDF : 7.11.7.69 2048 Bytes 28.04.2011 10:36:17
VBASE026.VDF : 7.11.7.70 2048 Bytes 28.04.2011 10:36:17
VBASE027.VDF : 7.11.7.71 2048 Bytes 28.04.2011 10:36:18
VBASE028.VDF : 7.11.7.72 2048 Bytes 28.04.2011 10:36:18
VBASE029.VDF : 7.11.7.73 2048 Bytes 28.04.2011 10:36:18
VBASE030.VDF : 7.11.7.74 2048 Bytes 28.04.2011 10:36:19
VBASE031.VDF : 7.11.7.89 92672 Bytes 30.04.2011 10:36:31
Engineversion : 8.2.4.224
AEVDF.DLL : 8.1.2.1 106868 Bytes 26.04.2011 20:14:17
AESCRIPT.DLL : 8.1.3.59 1261947 Bytes 26.04.2011 20:14:17
AESCN.DLL : 8.1.7.2 127349 Bytes 26.04.2011 20:14:17
AESBX.DLL : 8.1.3.2 254324 Bytes 26.04.2011 20:14:17
AERDL.DLL : 8.1.9.9 639347 Bytes 26.04.2011 20:14:17
AEPACK.DLL : 8.2.6.0 549237 Bytes 26.04.2011 20:14:17
AEOFFICE.DLL : 8.1.1.21 205179 Bytes 30.04.2011 10:40:06
AEHEUR.DLL : 8.1.2.112 3473784 Bytes 30.04.2011 10:39:53
AEHELP.DLL : 8.1.16.1 246134 Bytes 26.04.2011 20:14:17
AEGEN.DLL : 8.1.5.4 397684 Bytes 26.04.2011 20:14:17
AEEMU.DLL : 8.1.3.0 393589 Bytes 26.04.2011 20:14:17
AECORE.DLL : 8.1.20.2 196982 Bytes 26.04.2011 20:14:17
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2011 20:14:17
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:59
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:14:02
AVREP.DLL : 10.0.0.9 174120 Bytes 26.04.2011 20:14:17
AVREG.DLL : 9.0.0.0 36609 Bytes 05.12.2008 09:32:09
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:41
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:08
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:33
NETNT.DLL : 9.0.0.0 11521 Bytes 05.12.2008 09:32:10
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:39:58
RCTEXT.DLL : 9.0.73.0 86785 Bytes 13.10.2009 11:25:47

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\programme\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: off
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: Samstag, 30. April 2011 12:41

Starting search for hidden objects.
'24956' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'IWatch.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'InCD.exe' - '1' Module(s) have been scanned
Scan process 'iTouch.exe' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'NMSSvc.Exe' - '1' Module(s) have been scanned
Scan process 'PROMon.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'InCDsrv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
28 processes with 28 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '56' files ).


Starting the file scan:

Begin scan in 'C:\' <LAUFWERK_C>
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\Dokumente und Einstellungen\A\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\mario.jar-41fcb478-39f08eaa.zip
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BK.2 Java virus
--> advert/market_patch.class
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BK.2 Java virus
--> search/market.class
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BO.1 Java virus
--> search/parser.class
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BJ.3 Java virus
--> search/searchers.class
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BK.3 Java virus
Begin scan in 'D:\' <LAUFWERK_D>

Beginning disinfection:
C:\Dokumente und Einstellungen\A\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\mario.jar-41fcb478-39f08eaa.zip
[DETECTION] Contains recognition pattern of the JAVA/Exdoer.BK.2 Java virus
[NOTE] The file was moved to '4e2df144.qua'!


End of the scan: Samstag, 30. April 2011 13:22
Used time: 40:14 Minute(s)

The scan has been done completely.

3529 Scanned directories
211089 Files were scanned
5 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
1 Files were moved to quarantine
0 Files were renamed
1 Files cannot be scanned
211083 Files not concerned
7600 Archives were scanned
1 Warnings
2 Notes
24956 Objects were scanned with rootkit scan
0 Hidden objects were found





OTL.TxtOTL Logfile:
Code:
ATTFilter
OTL logfile created on: 30.04.2011 13:25:07 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Dokumente und Einstellungen\A\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 299,00 Mb Available Physical Memory | 58,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 766 4096 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 9,77 Gb Total Space | 1,33 Gb Free Space | 13,66% Space Free | Partition Type: NTFS
Drive D: | 27,50 Gb Total Space | 0,85 Gb Free Space | 3,09% Space Free | Partition Type: NTFS
 
Computer Name: WXPHPC1 | User Name: A | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.04.30 13:15:43 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\A\Desktop\OTL.exe
PRC - [2009.07.21 14:34:33 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 16:48:22 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 13:08:47 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2005.01.03 12:41:04 | 001,385,472 | ---- | M] (Nero AG) -- C:\Programme\Ahead\InCD\InCD.exe
PRC - [2005.01.03 12:40:41 | 000,854,528 | ---- | M] (Nero AG) -- C:\Programme\Ahead\InCD\InCDsrv.exe
PRC - [2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2002.09.11 04:57:20 | 000,046,592 | ---- | M] (Avance Logic, Inc.) -- C:\WINDOWS\SOUNDMAN.EXE
PRC - [2002.08.06 06:02:00 | 000,339,968 | ---- | M] () -- C:\Programme\Teledat\IWatch.exe
PRC - [2002.05.03 12:36:24 | 001,118,208 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\NMSSvc.Exe
PRC - [2002.04.18 18:32:36 | 000,073,728 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\PROMon.exe
PRC - [2001.12.20 01:59:00 | 000,204,800 | ---- | M] (Logitech Inc.                    ) -- C:\Programme\Logitech\iTouch\iTouch.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.04.30 13:15:43 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\A\Desktop\OTL.exe
MOD - [2006.08.25 17:46:44 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - File not found [On_Demand | Stopped] --  -- (AppMgmt)
SRV - [2009.07.21 14:34:33 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:22 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2005.01.03 12:40:41 | 000,854,528 | ---- | M] (Nero AG) [Auto | Stopped] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrvR) InCD Helper (read only)
SRV - [2005.01.03 12:40:41 | 000,854,528 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrv)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2002.05.03 12:36:24 | 001,118,208 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\WINDOWS\system32\NMSSvc.Exe -- (NMSSvc) Intel(R)
SRV - [2002.02.21 13:05:36 | 000,196,688 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe -- (de_serv)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.12.24 13:44:28 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 10:12:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:33:07 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 12:35:05 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2005.01.03 12:33:18 | 000,027,776 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\InCDrm.sys -- (incdrm)
DRV - [2005.01.03 11:33:44 | 000,099,456 | ---- | M] (Nero AG) [File_System | Disabled | Running] -- C:\WINDOWS\System32\drivers\InCDfs.sys -- (InCDfs)
DRV - [2005.01.03 11:33:24 | 000,028,928 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDpass.sys -- (InCDPass)
DRV - [2004.08.04 00:08:22 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2004.06.09 03:00:00 | 000,547,840 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fxusbase.sys -- (FXUSBASE) Teledat USB 2 a/b (WinXP/2000)
DRV - [2004.06.09 03:00:00 | 000,053,120 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2002.09.16 12:25:02 | 000,941,516 | ---- | M] (Avance Logic, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Avance AC97 Audio (WDM)
DRV - [2002.05.03 12:36:44 | 000,009,868 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NMSCFG.SYS -- (NMSCFG)
DRV - [2002.02.21 13:05:36 | 000,259,072 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETPPPOI.SYS -- (NETPPPOI)
DRV - [2001.12.19 11:42:00 | 000,067,694 | ---- | M] (Logitech) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouFlt2.sys -- (LMouFlt2)
DRV - [2001.12.19 11:42:00 | 000,050,990 | ---- | M] (Logitech) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\L8042Pr2.sys -- (l8042pr2)
DRV - [2001.12.19 11:42:00 | 000,022,206 | ---- | M] (Logitech) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHIDFLT2.SYS -- (LHidFlt2)
DRV - [2001.12.19 11:42:00 | 000,005,838 | ---- | M] (Logitech) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LKbdFlt2.sys -- (LKbdFlt2)
DRV - [2001.12.17 11:42:00 | 000,010,496 | ---- | M] (Logitech Inc.                    ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\itchfltr.sys -- (itchfltr)
DRV - [2001.10.23 02:00:00 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\avmport.sys -- (AVMPORT)
DRV - [2001.08.17 15:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
DRV - [2001.02.12 21:02:26 | 000,047,616 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TDSLAdap.sys -- (TDSLAdapter) T-DSL-Adapter (T-Online)
DRV - [2001.02.12 21:02:26 | 000,006,688 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TDSLProt.sys -- (TDSLProtocol) T-DSL-Protocol  (T-Online)
DRV - [2000.10.15 18:38:54 | 000,016,068 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\Programme\T-Online\T-DSL Treiber\Pcandis5.sys -- (PCANDIS5)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "www.google.de"
 
FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.04.27 19:34:59 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2011.04.27 19:35:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Mozilla\Extensions
[2011.04.30 11:08:10 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Mozilla\Firefox\Profiles\pvqp81ey.default\extensions
[2011.04.27 19:44:11 | 000,000,000 | ---D | M] ("Xmarks") -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Mozilla\Firefox\Profiles\pvqp81ey.default\extensions\foxmarks@kei.com
[2011.04.27 19:34:59 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) -- 
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\A\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\PVQP81EY.DEFAULT\EXTENSIONS\{73A6FE31-595D-460B-A920-FCC0F8843232}.XPI
[2011.03.18 19:56:37 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.04.28 10:19:02 | 000,433,290 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	007guard.com - 007guard and Free Antivirus
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	Avast | Cash Advance | Debt Consolidation | Insurance | Free Credit Report at 0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com - Informationen zum Thema Sex links. Diese Website steht zum Verkauf!
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 14911 more lines...
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [EM_EXEC] C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE (Logitech Inc.                    )
O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [PROMon.exe] C:\WINDOWS\System32\PROMon.exe (Intel Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Avance Logic, Inc.)
O4 - HKLM..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe (Logitech Inc.                    )
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Fax.lnk.disabled ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Fon.lnk.disabled ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe (VR-NetWorld Software)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O12 - Plugin for: .mid - C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll (Apple Computer, Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230129776734 (WUWebControl Class)
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} hxxp://www.album.de/ImageUploader3.cab (Aurigma Image Uploader 3.5 Control)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.04.04 11:55:45 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.04.30 13:15:18 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\A\Desktop\OTL.exe
[2011.04.30 11:12:38 | 001,377,112 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\A\Desktop\tdsskiller.exe
[2011.04.29 19:25:06 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\A\Recent
[2011.04.28 21:54:53 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft CAPICOM 2.1.0.2
[2011.04.28 10:07:09 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2011.04.28 09:38:03 | 000,000,000 | ---D | C] -- C:\Programme\Misc. Support Library (Spybot - Search & Destroy)
[2011.04.28 09:38:03 | 000,000,000 | ---D | C] -- C:\Programme\File Scanner Library (Spybot - Search & Destroy)
[2011.04.28 09:33:43 | 000,000,000 | ---D | C] -- C:\Programme\SDHelper (Spybot - Search & Destroy)
[2011.04.28 09:33:41 | 000,000,000 | ---D | C] -- C:\Programme\TeaTimer (Spybot - Search & Destroy)
[2011.04.27 19:37:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\TEMP
[2011.04.27 19:36:06 | 000,000,000 | ---D | C] -- D:\Eigene Dateien\Downloads
[2011.04.27 19:35:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2011.04.27 19:35:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Mozilla
[2011.04.27 19:34:58 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2011.04.27 18:39:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\AdobeUM
[2011.04.27 14:09:32 | 000,274,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll
[2011.04.27 14:09:32 | 000,017,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll.mui
[2011.04.26 23:04:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Malwarebytes
[2011.04.26 23:04:44 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.04.26 23:04:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.04.26 22:51:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2011.04.26 22:46:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.04.30 13:15:43 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\A\Desktop\OTL.exe
[2011.04.30 11:35:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.04.30 11:14:01 | 001,377,112 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\A\Desktop\tdsskiller.exe
[2011.04.28 21:54:08 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.04.28 10:19:02 | 000,433,290 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.04.28 10:17:55 | 000,433,290 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110428-101902.backup
[2011.04.27 19:35:09 | 000,000,000 | ---- | M] () -- C:\WINDOWS\nsreg.dat
[2011.04.27 19:35:01 | 000,000,706 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.04.26 10:41:08 | 000,177,152 | ---- | M] () -- C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.04.25 14:58:48 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.04.02 19:23:18 | 000,405,448 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.04.02 19:23:18 | 000,392,432 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.04.02 19:23:18 | 000,070,778 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.04.02 19:23:18 | 000,058,732 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.04.27 19:35:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.04.27 19:35:01 | 000,000,712 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2011.04.27 19:35:01 | 000,000,706 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2007.12.22 17:45:12 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.08.04 16:15:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\asym.ini
[2006.04.30 20:12:42 | 000,000,024 | ---- | C] () -- C:\WINDOWS\4EVER.INI
[2006.02.23 16:00:53 | 000,032,397 | ---- | C] () -- C:\WINDOWS\SGTBox.INI
[2006.02.22 12:20:41 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.02.21 20:25:52 | 000,006,656 | ---- | C] () -- C:\WINDOWS\System32\CNMVS58.DLL
[2005.04.04 18:25:56 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\Iyvu9_32.dll
[2005.04.04 18:12:20 | 000,000,385 | ---- | C] () -- C:\WINDOWS\BkcEmu.ini
[2005.04.04 18:07:49 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2005.04.04 16:17:05 | 000,001,168 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.04.04 16:17:05 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2005.04.04 16:17:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NSREX.INI
[2005.04.04 16:04:30 | 000,177,152 | ---- | C] () -- C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.04.04 15:56:51 | 001,513,984 | ---- | C] () -- C:\WINDOWS\System32\Mgxrdr80.dll
[2005.04.04 15:56:47 | 000,338,944 | ---- | C] () -- C:\WINDOWS\System32\LFFPX7.DLL
[2005.04.04 15:56:47 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\LFKODAK.DLL
[2005.04.04 15:56:25 | 000,064,000 | ---- | C] () -- C:\WINDOWS\System32\Ppiv30.dll
[2005.04.04 15:56:24 | 000,000,986 | ---- | C] () -- C:\WINDOWS\Mgxclean.sys
[2005.04.04 15:56:24 | 000,000,100 | ---- | C] () -- C:\WINDOWS\MGXCLEAN.DAT
[2005.04.04 15:28:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI
[2005.04.04 14:51:19 | 000,109,056 | ---- | C] () -- C:\WINDOWS\System32\LGUICOM.DLL
[2005.04.04 14:51:19 | 000,000,468 | ---- | C] () -- C:\WINDOWS\Cmousecc.ini
[2005.04.04 12:45:11 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.04.04 12:43:53 | 000,200,144 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2005.04.04 12:31:23 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2005.04.04 11:58:21 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2005.04.04 11:52:46 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.08.04 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,405,448 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,392,432 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,070,778 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,058,732 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 14:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2004.08.04 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2002.03.26 09:36:48 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\PROInst.dll
[2002.02.06 09:04:14 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\NMSInst.dll



Extras.Txt

OTL Extras logfile created on: 30.04.2011 13:25:08 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Dokumente und Einstellungen\A\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 299,00 Mb Available Physical Memory | 58,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 766 4096 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 9,77 Gb Total Space | 1,33 Gb Free Space | 13,66% Space Free | Partition Type: NTFS
Drive D: | 27,50 Gb Total Space | 0,85 Gb Free Space | 3,09% Space Free | Partition Type: NTFS
 
Computer Name: WXPHPC1 | User Name: A | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htafile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{036AA4D4-6D32-11D4-9875-00105ACE7734}" = Logitech iTouch Software
"{2B091530-69AA-442E-AB09-39ED06B58220}" = Windows Live Messenger
"{2C164906-E68F-462A-9010-70DD022223EF}" = RemoteCapture Task 1.0.2
"{2F81FBFC-9A37-431F-9050-14B55485DF5A}" = Internet Library
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{511A5609-446A-11D5-9FA6-0060087051D5}" = T-DSL Treiber
"{5809E7CF-4DCF-11D4-9875-00105ACE7734}" = Logitech MouseWare 9.42 .1
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6EC5D2BB-C70D-4A1E-9E0E-384568CA5E97}" = Intel(R) PRO Intelligent Installer
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}" = Windows Live installer
"{8815F011-43AF-4F50-BBD8-D78ED3D6F5B9}" = VR-NetWorld
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9518F764-C54D-47B2-9E73-154B21E79FD2}" = RAW Image Task 1.0
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-A00000000001}" = Adobe Reader 6.0.1 - Deutsch
"{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}" = Windows Live Anmelde-Assistent
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B9B9863A-32FD-4133-ADB7-46244ED77694}" = Camera Support Core Library
"{BEF56F2D-56ED-4176-BF72-7B68D4A3B98D}" = Canon PhotoRecord
"{C1D76D7A-F3BB-47EA-A746-5B1E2FFC1DF2}" = Canon Utilities ZoomBrowser EX
"{CBE0FCA1-4E95-11D4-9875-00105ACE7734}" = Logitech-Handbuch
"{D2FEBD11-E587-4C41-AD33-0CD90D26A964}" = Client für die Windows-Rechteverwaltung mit Service Pack 2
"{DE286975-ACF1-45B8-9EF7-34E162B2C817}" = MovieEdit Task
"{EC905264-BCFE-423B-9C42-C3A106266790}" = Rückwärtskompatibilität des Clients für die Windows-Rechteverwaltung SP2
"{EF4C7EB0-D71B-43A3-9552-8053DE4B0401}" = PhotoStitch
"{F37942A8-B21B-4C5A-A1D2-B676BF55EAE0}" = Camera Window
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Avance AC'97 Audio
"Ad-Aware SE Personal" = Ad-Aware SE Personal
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon ScanGear Toolbox CS" = Canon ScanGear Toolbox CS 2.2
"Encarta Weltatlas 2.0" = Microsoft Encarta Weltatlas
"Encarta99D" = Microsoft Encarta 99 Enzyklopädie
"HijackThis" = HijackThis 1.99.1
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Indeo® software" = Indeo® software
"InstallShield_{2C164906-E68F-462A-9010-70DD022223EF}" = Canon RemoteCapture Task for ZoomBrowser EX
"InstallShield_{2F81FBFC-9A37-431F-9050-14B55485DF5A}" = Canon Internet Library for ZoomBrowser EX
"InstallShield_{9518F764-C54D-47B2-9E73-154B21E79FD2}" = Canon RAW Image Task for ZoomBrowser EX
"InstallShield_{B9B9863A-32FD-4133-ADB7-46244ED77694}" = Canon Camera Support Core Library
"InstallShield_{DE286975-ACF1-45B8-9EF7-34E162B2C817}" = Canon MovieEdit Task for ZoomBrowser EX
"InstallShield_{EF4C7EB0-D71B-43A3-9552-8053DE4B0401}" = Canon Utilities PhotoStitch 3.1
"InstallShield_{F37942A8-B21B-4C5A-A1D2-B676BF55EAE0}" = Canon Camera Window for ZoomBrowser EX
"ISDNWatch" = ISDNWatch
"Language pack for Ad-Aware SE" = Language pack for Ad-Aware SE
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Micrografx Picture Publisher 8" = Micrografx Picture Publisher 8
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Mozilla Firefox 4.0 (x86 de)" = Mozilla Firefox 4.0 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PROSet" = Intel(R) PRO Ethernet Adapter and Software
"QuickTime" = QuickTime
"Registry First Aid_is1" = Registry First Aid
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.3
"Teledat 150" = Teledat 150
"TeledatKonf" = Teledat USB 2 a/b Konfiguration
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 26.04.2011 04:53:59 | Computer Name = WXPHPC1 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 26.04.2011 04:53:59 | Computer Name = WXPHPC1 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ System Events ]
Error - 30.04.2011 07:21:51 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:51 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:51 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:51 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 30.04.2011 07:21:52 | Computer Name = WXPHPC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
 
< End of report >
--- --- ---
Alt 01.05.2011, 13:36   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Dann bitte jetzt CF ausführen, probier den tdsskiller danach nochmal aus.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> Windows recovery Virus - bekämpft, aber noch Symptome

Alt 01.05.2011, 17:39   #7
lumememm
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Hallo,

habe CCleaner und danach Combofix (hatte was gefunden, mit der Wiederherstellungskonsole das hatte nicht geklappt) ausgeführt, danach klappte tdsskiller tatsächlich (ohne Fund). Antivir hatte jedoch danach noch das hier gefunden (war aber vielleicht schon in Quarantäne?):
C:\System Volume Information\_restore{53BAB1DC-743A-45D4-A12A-E18E7CD7DEF2}\RP6\A0006020.sys
[DETECTION] Is the TR/Patched.Gen Trojan

Lass jetzt nochmal Spybot durchlaufen, falls da was kommt, poste ich es nochmal. Wie schauts aus, könnte mein System jetzt sauber sein?

Viele Grüße
Andreas


Hier die Logs von Combofix, tdss und Antivir

Combofix

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-04-30.06 - A 01.05.2011  17:18:32.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.273 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\A\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\A\WINDOWS
.
Infizierte Kopie von c:\windows\system32\drivers\volsnap.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-01 bis 2011-05-01  ))))))))))))))))))))))))))))))
.
.
2011-05-01 14:53 . 2011-05-01 14:53	--------	d-----w-	c:\programme\CCleaner
2011-04-28 19:54 . 2011-04-28 19:54	--------	d-----w-	c:\programme\Microsoft CAPICOM 2.1.0.2
2011-04-28 08:07 . 2011-04-28 08:10	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2011-04-28 07:38 . 2011-04-28 07:38	--------	d-----w-	c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2011-04-28 07:38 . 2011-04-28 07:38	--------	d-----w-	c:\programme\File Scanner Library (Spybot - Search & Destroy)
2011-04-28 07:33 . 2011-04-28 07:33	--------	d-----w-	c:\programme\SDHelper (Spybot - Search & Destroy)
2011-04-28 07:33 . 2011-04-28 07:33	--------	d-----w-	c:\programme\TeaTimer (Spybot - Search & Destroy)
2011-04-27 17:35 . 2011-04-27 17:35	--------	d-----w-	c:\dokumente und einstellungen\A\Lokale Einstellungen\Anwendungsdaten\Mozilla
2011-04-27 16:39 . 2011-04-27 16:39	--------	d-----w-	c:\dokumente und einstellungen\A\Anwendungsdaten\AdobeUM
2011-04-27 12:09 . 2009-08-06 17:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2011-04-27 12:09 . 2009-08-06 17:23	215920	----a-w-	c:\windows\system32\muweb.dll
2011-04-26 21:04 . 2011-04-26 21:04	--------	d-----w-	c:\dokumente und einstellungen\A\Anwendungsdaten\Malwarebytes
2011-04-26 21:04 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-26 21:04 . 2011-04-26 21:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-26 21:02 . 2011-04-26 21:02	7734208	----a-w-	c:\dokumente und einstellungen\mbam-setup.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 17:56 . 2011-04-27 17:34	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PROMon.exe"="PROMon.exe" [2002-04-18 73728]
"SoundMan"="SOUNDMAN.EXE" [2002-09-11 46592]
"zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2001-12-19 204800]
"EM_EXEC"="c:\progra~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2001-12-20 35328]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2005-01-03 1385472]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-04-04 98304]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"EM_EXEC"=c:\progra~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
"InCD"=c:\programme\Ahead\InCD\InCD.exe
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"PROMon.exe"=PROMon.exe
"SoundMan"=SOUNDMAN.EXE
"zBrowser Launcher"=c:\programme\Logitech\iTouch\iTouch.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [13.12.2009 14:40 108289]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [21.02.2006 18:44 59520]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [09.06.2004 03:00 53120]
R3 FXUSBASE;Teledat USB 2 a/b (WinXP/2000);c:\windows\system32\drivers\fxusbase.sys [09.06.2004 03:00 547840]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);c:\windows\system32\drivers\TDSLAdap.sys [04.04.2005 15:00 47616]
S3 NETPPPOI;PPP over ISDN;c:\windows\system32\drivers\NETPPPOI.SYS [21.02.2006 19:08 259072]
S3 TDSLProtocol;T-DSL-Protocol  (T-Online);c:\windows\system32\drivers\TDSLProt.sys [04.04.2005 15:00 6688]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = about:blank
mWindow Title = 
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\A\Anwendungsdaten\Mozilla\Firefox\Profiles\pvqp81ey.default\
FF - prefs.js: browser.startup.homepage - www.google.de
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-01 17:22
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2011-05-01  17:25:18
ComboFix-quarantined-files.txt  2011-05-01 15:25
.
Vor Suchlauf: 1.842.708.480 Bytes frei
Nach Suchlauf: 1.808.138.240 Bytes frei
.
- - End Of File - - 8EAFEDC1BB693229624C750EE2FB6DEB
--- --- ---

tdsskiller

2011/05/01 17:27:56.0046 1108 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/05/01 17:27:58.0046 1108 ================================================================================
2011/05/01 17:27:58.0046 1108 SystemInfo:
2011/05/01 17:27:58.0046 1108
2011/05/01 17:27:58.0046 1108 OS Version: 5.1.2600 ServicePack: 2.0
2011/05/01 17:27:58.0046 1108 Product type: Workstation
2011/05/01 17:27:58.0046 1108 ComputerName: WXPHPC1
2011/05/01 17:27:58.0078 1108 UserName: A
2011/05/01 17:27:58.0078 1108 Windows directory: C:\WINDOWS
2011/05/01 17:27:58.0078 1108 System windows directory: C:\WINDOWS
2011/05/01 17:27:58.0078 1108 Processor architecture: Intel x86
2011/05/01 17:27:58.0078 1108 Number of processors: 1
2011/05/01 17:27:58.0078 1108 Page size: 0x1000
2011/05/01 17:27:58.0078 1108 Boot type: Normal boot
2011/05/01 17:27:58.0078 1108 ================================================================================
2011/05/01 17:27:58.0296 1108 Initialize success
2011/05/01 17:28:14.0500 0984 ================================================================================
2011/05/01 17:28:14.0500 0984 Scan started
2011/05/01 17:28:14.0500 0984 Mode: Manual;
2011/05/01 17:28:14.0500 0984 ================================================================================
2011/05/01 17:28:14.0968 0984 ACPI (94b4741d2cf9ed38140b831293d1601a) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/05/01 17:28:15.0078 0984 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/05/01 17:28:15.0234 0984 aec (1ee7b434ba961ef845de136224c30fec) C:\WINDOWS\system32\drivers\aec.sys
2011/05/01 17:28:15.0343 0984 AFD (5ac495f4cb807b2b98ad2ad591e6d92e) C:\WINDOWS\System32\drivers\afd.sys
2011/05/01 17:28:15.0453 0984 agp440 (2c428fa0c3e3a01ed93c9b2a27d8d4bb) C:\WINDOWS\system32\DRIVERS\agp440.sys
2011/05/01 17:28:15.0703 0984 ALCXWDM (97e3a6a6c6cf4a1d58fcd6ead2faa942) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/05/01 17:28:16.0187 0984 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/05/01 17:28:16.0265 0984 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/05/01 17:28:16.0421 0984 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/05/01 17:28:16.0515 0984 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/05/01 17:28:16.0609 0984 avgio (6a646c46b9415e13095aa9b352040a7a) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/05/01 17:28:16.0750 0984 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/05/01 17:28:16.0859 0984 avipbb (452e382340bb0c5e694ed9d3625356d0) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/05/01 17:28:16.0953 0984 AVMCOWAN (dec96d9a2463b75944869041ed15c31c) C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys
2011/05/01 17:28:17.0046 0984 AVMPORT (02568a764ef2c37cfa6f9c471e67d475) C:\WINDOWS\System32\drivers\avmport.sys
2011/05/01 17:28:17.0171 0984 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/05/01 17:28:17.0390 0984 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/05/01 17:28:17.0546 0984 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/05/01 17:28:17.0640 0984 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/05/01 17:28:17.0765 0984 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/05/01 17:28:18.0187 0984 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/05/01 17:28:18.0312 0984 dmboot (5789b83ba87fc84c3568cf86cacef8ce) C:\WINDOWS\system32\drivers\dmboot.sys
2011/05/01 17:28:18.0453 0984 dmio (084eb0a50a4f7b4705c8a57f234e5291) C:\WINDOWS\system32\drivers\dmio.sys
2011/05/01 17:28:18.0546 0984 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/05/01 17:28:18.0671 0984 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
2011/05/01 17:28:18.0859 0984 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/05/01 17:28:18.0937 0984 E100B (fe9cb643a034285031502d3369e5a869) C:\WINDOWS\system32\DRIVERS\e100b325.sys
2011/05/01 17:28:19.0093 0984 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/05/01 17:28:19.0234 0984 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/05/01 17:28:19.0328 0984 Fips (9e9af89f9b14aa6249065c309ce73bd8) C:\WINDOWS\system32\drivers\Fips.sys
2011/05/01 17:28:19.0421 0984 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/05/01 17:28:19.0531 0984 FltMgr (3d234fb6d6ee875eb009864a299bea29) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/05/01 17:28:19.0640 0984 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/05/01 17:28:19.0781 0984 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/05/01 17:28:19.0921 0984 FXUSBASE (f15435abc8f7f36699085019425b7828) C:\WINDOWS\system32\DRIVERS\fxusbase.sys
2011/05/01 17:28:20.0062 0984 gameenum (5f92fd09e5610a5995da7d775eadcd12) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/05/01 17:28:20.0265 0984 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/05/01 17:28:20.0359 0984 HidUsb (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/05/01 17:28:20.0515 0984 HTTP (cb77bb47e67e84deb17ba29632501730) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/05/01 17:28:20.0765 0984 i8042prt (7c575018d0413440d75432a78b88c899) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/05/01 17:28:20.0859 0984 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/05/01 17:28:20.0968 0984 InCDfs (5a4c94a8a23b8a7b7d2608dc73b1b85e) C:\WINDOWS\system32\drivers\InCDfs.sys
2011/05/01 17:28:21.0078 0984 InCDPass (57cd1170662d11a8e29dd6cf9330466a) C:\WINDOWS\system32\DRIVERS\InCDPass.sys
2011/05/01 17:28:21.0187 0984 InCDrec (af134c85c0a9912bb43c47da34dfbd95) C:\WINDOWS\system32\drivers\InCDrec.sys
2011/05/01 17:28:21.0296 0984 incdrm (4a4ca46403b9884556a35c3a4db2e39f) C:\WINDOWS\system32\drivers\incdrm.sys
2011/05/01 17:28:21.0453 0984 IntelIde (d63c33f65f6ebc732116403d88883b2d) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/05/01 17:28:21.0531 0984 intelppm (c1c2cc1da79c5ee10457ef0a3b8568c7) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/05/01 17:28:21.0593 0984 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/05/01 17:28:21.0671 0984 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/05/01 17:28:21.0812 0984 IpNat (e2168cbc7098ffe963c6f23f472a3593) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/05/01 17:28:21.0890 0984 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/05/01 17:28:21.0984 0984 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/05/01 17:28:22.0093 0984 isapnp (ce9b7afdf0a3d7dd8d1487262316b959) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/05/01 17:28:22.0218 0984 itchfltr (e28b9746a8888c6536691d6f72fc6a61) C:\WINDOWS\system32\DRIVERS\itchfltr.sys
2011/05/01 17:28:22.0328 0984 Kbdclass (b128fc0a5cd83f669d5de4b58f77c7d6) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/05/01 17:28:22.0437 0984 kmixer (ba5deda4d934e6288c2f66caf58d2562) C:\WINDOWS\system32\drivers\kmixer.sys
2011/05/01 17:28:22.0531 0984 KSecDD (eb7ffe87fd367ea8fca0506f74a87fbb) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/05/01 17:28:22.0656 0984 l8042pr2 (cb129b5b0e47b0f34be950939da52e7f) C:\WINDOWS\system32\DRIVERS\L8042Pr2.sys
2011/05/01 17:28:22.0890 0984 LHidFlt2 (e8e25edb0d3ab0bc459405bcaf824fdf) C:\WINDOWS\system32\DRIVERS\LHidFlt2.sys
2011/05/01 17:28:22.0968 0984 LKbdFlt2 (18e48e9d5683860773a078c7c3837daf) C:\WINDOWS\system32\DRIVERS\LKbdFlt2.sys
2011/05/01 17:28:23.0078 0984 LMouFlt2 (d1d5f7cbecef5c0c9f019b0c534be289) C:\WINDOWS\system32\DRIVERS\LMouFlt2.sys
2011/05/01 17:28:23.0234 0984 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/05/01 17:28:23.0328 0984 Modem (91a3da4b12f6f1d760463a7f7857f748) C:\WINDOWS\system32\drivers\Modem.sys
2011/05/01 17:28:23.0421 0984 Mouclass (71e15ca47fd947552054afb28536268f) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/05/01 17:28:23.0546 0984 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/05/01 17:28:23.0625 0984 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/05/01 17:28:23.0781 0984 MRxDAV (46edcc8f2db2f322c24f48785cb46366) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/05/01 17:28:23.0906 0984 MRxSmb (025af03ce51645c62f3b6907a7e2be5e) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/05/01 17:28:24.0046 0984 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
2011/05/01 17:28:24.0171 0984 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/05/01 17:28:24.0281 0984 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/05/01 17:28:24.0390 0984 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/05/01 17:28:24.0515 0984 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/05/01 17:28:24.0625 0984 ms_mpu401 (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2011/05/01 17:28:24.0734 0984 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
2011/05/01 17:28:24.0843 0984 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
2011/05/01 17:28:24.0968 0984 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/05/01 17:28:25.0078 0984 Ndisuio (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/05/01 17:28:25.0203 0984 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/05/01 17:28:25.0328 0984 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/05/01 17:28:25.0437 0984 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/05/01 17:28:25.0531 0984 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/05/01 17:28:25.0687 0984 NETPPPOI (a4cc874f564d4a75254774665ce4265d) C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS
2011/05/01 17:28:25.0812 0984 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
2011/05/01 17:28:25.0921 0984 Ntfs (b78be402c3f63dd55521f73876951cdd) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/05/01 17:28:26.0046 0984 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/05/01 17:28:26.0218 0984 nv (2b298519edbfcf451d43e0f1e8f1006d) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/05/01 17:28:26.0468 0984 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/05/01 17:28:26.0562 0984 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/05/01 17:28:26.0671 0984 Parport (b2f17a2edb5450e61973a037f63a595b) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/05/01 17:28:26.0796 0984 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/05/01 17:28:26.0906 0984 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/05/01 17:28:27.0015 0984 PCANDIS5 (d0084a9ade989fe703e4f22171f4e4dc) C:\PROGRA~1\T-Online\T-DSLT~1\PCANDIS5.SYS
2011/05/01 17:28:27.0156 0984 PCI (6fb463e5b243fbd6f3d3c83f914d94fb) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/05/01 17:28:27.0312 0984 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/05/01 17:28:27.0390 0984 Pcmcia (e2363f4c1daff89abee5f593e13d8a05) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/05/01 17:28:27.0828 0984 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/05/01 17:28:27.0921 0984 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/05/01 17:28:28.0046 0984 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/05/01 17:28:28.0421 0984 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/05/01 17:28:28.0515 0984 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/05/01 17:28:28.0625 0984 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/05/01 17:28:28.0734 0984 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/05/01 17:28:28.0859 0984 Rdbss (03b965b1ca47f6ef60eb5e51cb50e0af) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/05/01 17:28:28.0968 0984 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/05/01 17:28:29.0093 0984 RDPWD (b54cd38a9ebfbf2b3561426e3fe26f62) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/05/01 17:28:29.0203 0984 redbook (aa56702e230860565cb8d43680f57f33) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/05/01 17:28:29.0312 0984 ROOTMODEM (d8b0b4ade32574b2d9c5cc34dc0dbbe7) C:\WINDOWS\system32\Drivers\RootMdm.sys
2011/05/01 17:28:29.0468 0984 Secdrv (d26e26ea516450af9d072635c60387f4) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/05/01 17:28:29.0593 0984 serenum (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/05/01 17:28:29.0687 0984 Serial (cd5b9995afcdb466c9efc048d167e3be) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/05/01 17:28:29.0781 0984 sermouse (e8f3e51da8098201f50678cec5fce179) C:\WINDOWS\system32\DRIVERS\sermouse.sys
2011/05/01 17:28:29.0859 0984 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\DRIVERS\sfloppy.sys
2011/05/01 17:28:30.0078 0984 splitter (0ce218578fff5f4f7e4201539c45c78f) C:\WINDOWS\system32\drivers\splitter.sys
2011/05/01 17:28:30.0203 0984 sr (e4200cb2f418d8fc4acdd7e38c419d6a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/05/01 17:28:30.0359 0984 Srv (ea554a3ffc3f536fe8320eb38f5e4843) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/05/01 17:28:30.0500 0984 ssmdrv (654dfea96bc82b4acda4f37e5e4a3bbf) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/05/01 17:28:30.0625 0984 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/05/01 17:28:30.0734 0984 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
2011/05/01 17:28:31.0031 0984 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/05/01 17:28:31.0171 0984 Tcpip (1dbf125862891817f374f407626967f4) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/05/01 17:28:31.0296 0984 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/05/01 17:28:31.0390 0984 TDSLAdapter (e459470f8e5356ad1b15e8e9c803dd9f) C:\WINDOWS\system32\DRIVERS\TDSLAdap.sys
2011/05/01 17:28:31.0484 0984 TDSLProtocol (5ca87aea02c49117802831f9ae890d22) C:\WINDOWS\system32\DRIVERS\TDSLProt.sys
2011/05/01 17:28:31.0593 0984 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/05/01 17:28:31.0703 0984 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/05/01 17:28:31.0890 0984 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
2011/05/01 17:28:32.0031 0984 Update (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
2011/05/01 17:28:32.0187 0984 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/05/01 17:28:32.0296 0984 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/05/01 17:28:32.0375 0984 usbprint (a42369b7cd8886cd7c70f33da6fcbcf5) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/05/01 17:28:32.0484 0984 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/05/01 17:28:32.0578 0984 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/05/01 17:28:32.0656 0984 usbuhci (f8fd1400092e23c8f2f31406ef06167b) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/05/01 17:28:32.0718 0984 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
2011/05/01 17:28:32.0875 0984 VolSnap (d6888520ff56d72a50437e371ca25fc9) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/05/01 17:28:33.0015 0984 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/05/01 17:28:33.0187 0984 wdmaud (efd235ca22b57c81118c1aeb4798f1c1) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/05/01 17:28:33.0375 0984 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/05/01 17:28:33.0484 0984 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/05/01 17:28:33.0687 0984 ================================================================================
2011/05/01 17:28:33.0687 0984 Scan finished
2011/05/01 17:28:33.0687 0984 ================================================================================

Avira



Avira AntiVir Personal
Report file date: Sonntag, 1. Mai 2011 17:54

Scanning for 2646187 virus strains and unwanted programs.

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 2) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : WXPHPC1

Version information:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 10:04:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:33
AVSCAN.DLL : 9.0.3.0 40705 Bytes 27.02.2009 09:58:24
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:49
LUKERES.DLL : 9.0.2.0 12033 Bytes 27.02.2009 09:58:52
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 20:14:16
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 20:14:16
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 20:14:16
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 20:14:16
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 20:14:16
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 20:14:16
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 20:14:16
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 20:14:16
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 20:14:16
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 20:14:16
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 20:14:16
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 20:14:16
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 20:14:16
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 20:14:16
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 20:14:16
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 20:14:16
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 20:14:16
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 20:14:16
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 10:35:49
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 10:36:15
VBASE021.VDF : 7.11.7.65 2048 Bytes 28.04.2011 10:36:15
VBASE022.VDF : 7.11.7.66 2048 Bytes 28.04.2011 10:36:15
VBASE023.VDF : 7.11.7.67 2048 Bytes 28.04.2011 10:36:16
VBASE024.VDF : 7.11.7.68 2048 Bytes 28.04.2011 10:36:16
VBASE025.VDF : 7.11.7.69 2048 Bytes 28.04.2011 10:36:17
VBASE026.VDF : 7.11.7.70 2048 Bytes 28.04.2011 10:36:17
VBASE027.VDF : 7.11.7.71 2048 Bytes 28.04.2011 10:36:18
VBASE028.VDF : 7.11.7.72 2048 Bytes 28.04.2011 10:36:18
VBASE029.VDF : 7.11.7.73 2048 Bytes 28.04.2011 10:36:18
VBASE030.VDF : 7.11.7.74 2048 Bytes 28.04.2011 10:36:19
VBASE031.VDF : 7.11.7.89 92672 Bytes 30.04.2011 10:36:31
Engineversion : 8.2.4.224
AEVDF.DLL : 8.1.2.1 106868 Bytes 26.04.2011 20:14:17
AESCRIPT.DLL : 8.1.3.59 1261947 Bytes 26.04.2011 20:14:17
AESCN.DLL : 8.1.7.2 127349 Bytes 26.04.2011 20:14:17
AESBX.DLL : 8.1.3.2 254324 Bytes 26.04.2011 20:14:17
AERDL.DLL : 8.1.9.9 639347 Bytes 26.04.2011 20:14:17
AEPACK.DLL : 8.2.6.0 549237 Bytes 26.04.2011 20:14:17
AEOFFICE.DLL : 8.1.1.21 205179 Bytes 30.04.2011 10:40:06
AEHEUR.DLL : 8.1.2.112 3473784 Bytes 30.04.2011 10:39:53
AEHELP.DLL : 8.1.16.1 246134 Bytes 26.04.2011 20:14:17
AEGEN.DLL : 8.1.5.4 397684 Bytes 26.04.2011 20:14:17
AEEMU.DLL : 8.1.3.0 393589 Bytes 26.04.2011 20:14:17
AECORE.DLL : 8.1.20.2 196982 Bytes 26.04.2011 20:14:17
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2011 20:14:17
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:59
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:14:02
AVREP.DLL : 10.0.0.9 174120 Bytes 26.04.2011 20:14:17
AVREG.DLL : 9.0.0.0 36609 Bytes 05.12.2008 09:32:09
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:41
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:08
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:33
NETNT.DLL : 9.0.0.0 11521 Bytes 05.12.2008 09:32:10
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:39:58
RCTEXT.DLL : 9.0.73.0 86785 Bytes 13.10.2009 11:25:47

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\programme\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: off
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: Sonntag, 1. Mai 2011 17:54

Starting search for hidden objects.
'24465' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'NMSSvc.Exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'InCD.exe' - '1' Module(s) have been scanned
Scan process 'iTouch.exe' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'PROMon.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'InCDsrv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
28 processes with 28 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '47' files ).


Starting the file scan:

Begin scan in 'C:\' <LAUFWERK_C>
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\System Volume Information\_restore{53BAB1DC-743A-45D4-A12A-E18E7CD7DEF2}\RP6\A0006020.sys
[DETECTION] Is the TR/Patched.Gen Trojan
Begin scan in 'D:\' <LAUFWERK_D>

Beginning disinfection:
C:\System Volume Information\_restore{53BAB1DC-743A-45D4-A12A-E18E7CD7DEF2}\RP6\A0006020.sys
[DETECTION] Is the TR/Patched.Gen Trojan
[NOTE] The file was moved to '4ded8a0c.qua'!


End of the scan: Sonntag, 1. Mai 2011 18:27
Used time: 31:50 Minute(s)

The scan has been done completely.

3055 Scanned directories
145011 Files were scanned
1 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
1 Files were moved to quarantine
0 Files were renamed
1 Files cannot be scanned
145009 Files not concerned
2244 Archives were scanned
1 Warnings
2 Notes
24465 Objects were scanned with rootkit scan
0 Hidden objects were found

Alt 02.05.2011, 09:30   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.05.2011, 09:17   #9
lumememm
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Vielen Dank für Eure Hilfe! Beste Grüße. Andreas

Alt 04.05.2011, 13:28   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Zitat:
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Warum gurkst du eigentlich mit diesem ungepatchten und damit völlig unsicherm System herum?

SP3 => Fehlanzeige!
IE8 => Fehlanzeige!

Kümmer dich darum aber erst später. Ich poste dann später dazu auch mehr.

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 27.05.2011, 19:43   #11
lumememm
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Hallo Arne & Team,
da ich die vergangenen 4 Wochen nicht an diesem Rechner zugange war, konnte ich die Instruktionen erst jetzt ausführen.
GMR klappte nicht, dafür hier die Logfiles von Osam und MBR-Check

Osam
eport of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:38:34 on 27.05.2011

OS: Windows XP Home Edition Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 4.0

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ALSNDMGR.CPL" - "Avance Logic, Inc." - C:\WINDOWS\system32\ALSNDMGR.CPL
"PROSetp.cpl" - "Intel Corporation" - C:\WINDOWS\system32\PROSetp.cpl
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"AVMCOWAN" (AVMCOWAN) - "AVM GmbH" - C:\WINDOWS\System32\DRIVERS\AVMCOWAN.sys
"AVMPORT" (AVMPORT) - "AVM Berlin" - C:\WINDOWS\System32\drivers\avmport.sys
"catchme" (catchme) - ? - C:\DOKUME~1\A\LOKALE~1\Temp\catchme.sys (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"GMSIPCI" (GMSIPCI) - ? - C:\WINDOWS\system32\drivers\GMSIPCI.sys (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDfs.sys
"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\system32\drivers\incdrm.sys
"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\DRIVERS\InCDPass.sys
"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"NIC Management Service Configuration Driver" (NMSCFG) - "Intel Corporation" - C:\WINDOWS\system32\drivers\NMSCFG.SYS
"PCANDIS5" (PCANDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\PROGRA~1\T-Online\T-DSLT~1\PCANDIS5.SYS
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"PPP over ISDN" (NETPPPOI) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\NETPPPOI.SYS
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys (File signed by Microsoft | File found, but it contains no detailed information)
"Service for Avance AC97 Audio (WDM)" (ALCXWDM) - "Avance Logic, Inc." - C:\WINDOWS\System32\drivers\ALCXWDM.SYS
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"T-DSL-Adapter (T-Online)" (TDSLAdapter) - "T-Online International AG" - C:\WINDOWS\System32\DRIVERS\TDSLAdap.sys
"T-DSL-Protocol (T-Online)" (TDSLProtocol) - "T-Online International AG" - C:\WINDOWS\System32\DRIVERS\TDSLProt.sys
"Teledat USB 2 a/b (WinXP/2000)" (FXUSBASE) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\fxusbase.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{D0FAC080-AE1A-11ce-8016-CE90976DC901} "Picture Publisher File Viewer" - ? - C:\WINDOWS\system32\ppiv30.dll (File found, but it contains no detailed information)
{950FF917-7A57-46BC-8017-59D9BF474000} "Shell Extension for CDRW" - "Nero AG" - C:\Programme\Ahead\InCD\incdshx.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information)
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found)
<binary data> "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} "Aurigma Image Uploader 3.5 Control" - "Aurigma Inc." - C:\WINDOWS\Downloaded Program Files\ImageUploader3.ocx / hxxp://www.album.de/ImageUploader3.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10n.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - ? - (File not found | COM-object registry key not found)
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins\Extension )-----
"QuickTime Plug-in 6.5.1" - "Apple Computer, Inc." - C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{BDF3E430-B101-42AD-A544-FADC6B084872} "{BDF3E430-B101-42AD-A544-FADC6B084872}" - ? - (File not found | COM-object registry key not found)

[Logon]
-----( %UserProfile%ll Users\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"EM_EXEC" - "Logitech Inc. " - C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
"InCD" - "Nero AG" - C:\Programme\Ahead\InCD\InCD.exe
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"PROMon.exe" - "Intel Corporation" - PROMon.exe
"QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SoundMan" - "Avance Logic, Inc." - SOUNDMAN.EXE
"zBrowser Launcher" - "Logitech Inc. " - C:\Programme\Logitech\iTouch\iTouch.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"Teledat 150 Color Fax Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\TelColorPort.dll
"Teledat 150 Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\TelPort.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Scheduler" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Ahead\InCD\InCDsrv.exe
"InCD Helper (read only)" (InCDsrvR) - "Nero AG" - C:\Programme\Ahead\InCD\InCDsrv.exe
"Intel(R) NMS" (NMSSvc) - "Intel Corporation" - C:\WINDOWS\system32\NMSSvc.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


MBR-Check
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0180000d

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EC000 \WINDOWS\system32\hal.dll
0xF8A35000 \WINDOWS\system32\KDCOM.DLL
0xF8945000 \WINDOWS\system32\BOOTVID.dll
0xF84E5000 ACPI.sys
0xF8A37000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF84D4000 pci.sys
0xF8535000 isapnp.sys
0xF8AFD000 pciide.sys
0xF87B5000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF8A39000 intelide.sys
0xF8545000 MountMgr.sys
0xF84B5000 ftdisk.sys
0xF87BD000 PartMgr.sys
0xF8555000 VolSnap.sys
0xF849D000 atapi.sys
0xF8565000 disk.sys
0xF8575000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF847D000 fltMgr.sys
0xF846B000 sr.sys
0xF8454000 KSecDD.sys
0xF83C7000 Ntfs.sys
0xF839A000 NDIS.sys
0xF837F000 Mup.sys
0xF8585000 agp440.sys
0xF8655000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF7D8E000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF7D7A000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF880D000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF7D57000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF8815000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7D03000 \SystemRoot\system32\DRIVERS\e100b325.sys
0xF8665000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF89D9000 \SystemRoot\system32\DRIVERS\itchfltr.sys
0xF8A41000 \SystemRoot\system32\DRIVERS\LKbdFlt2.sys
0xF881D000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF8675000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF8685000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7CE0000 \SystemRoot\system32\DRIVERS\ks.sys
0xF8825000 \SystemRoot\System32\DRIVERS\InCDPass.sys
0xF882D000 \SystemRoot\System32\Drivers\incdrm.SYS
0xF8695000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7BFD000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF7BD9000 \SystemRoot\system32\drivers\portcls.sys
0xF86A5000 \SystemRoot\system32\drivers\drmk.sys
0xF8835000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF7BC8000 \SystemRoot\system32\DRIVERS\serial.sys
0xF89ED000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7BB4000 \SystemRoot\system32\DRIVERS\parport.sys
0xF89F1000 \SystemRoot\system32\DRIVERS\gameenum.sys
0xF8BC3000 \SystemRoot\system32\drivers\msmpu401.sys
0xF86B5000 \SystemRoot\system32\DRIVERS\AVMCOWAN.sys
0xF8A43000 \SystemRoot\System32\Drivers\RootMdm.sys
0xF883D000 \SystemRoot\System32\Drivers\Modem.SYS
0xF8BC5000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF86C5000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF89F5000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF7B9D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF86D5000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF86E5000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF8845000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7B8C000 \SystemRoot\system32\DRIVERS\psched.sys
0xF86F5000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF8855000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF885D000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF8705000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF8865000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF8A45000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7B30000 \SystemRoot\system32\DRIVERS\update.sys
0xF8A05000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF8715000 \SystemRoot\system32\DRIVERS\TDSLAdap.sys
0xF8725000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF8735000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF8A4D000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF886D000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF8A4F000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8C63000 \SystemRoot\System32\Drivers\Null.SYS
0xF8A51000 \SystemRoot\System32\Drivers\Beep.SYS
0xF887D000 \SystemRoot\System32\drivers\vga.sys
0xF8A53000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8A55000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7F82000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xF692F000 \SystemRoot\System32\Drivers\InCDfs.SYS
0xF8885000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF888D000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7F7E000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF691C000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF68C4000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF689C000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF687A000 \SystemRoot\System32\drivers\afd.sys
0xF8755000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF8895000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF684F000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF67E0000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF8765000 \SystemRoot\System32\Drivers\Fips.SYS
0xF67BF000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF8775000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF66DB000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF8A59000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF6655000 \SystemRoot\system32\DRIVERS\fxusbase.sys
0xF8605000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF88A5000 \SystemRoot\system32\DRIVERS\sermouse.sys
0xF8615000 \SystemRoot\system32\DRIVERS\LMouFlt2.sys
0xF663D000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8A65000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6747000 \SystemRoot\System32\drivers\Dxapi.sys
0xF88DD000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8B25000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xF54E9000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF89C1000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF419C000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF415F000 \SystemRoot\system32\drivers\wdmaud.sys
0xF4349000 \SystemRoot\system32\drivers\sysaudio.sys
0xF558D000 \SystemRoot\System32\drivers\avmport.sys
0xF8AAD000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF3F2F000 \SystemRoot\system32\DRIVERS\srv.sys
0xF3BA6000 \SystemRoot\System32\Drivers\HTTP.sys
0xF3CEF000 \??\C:\WINDOWS\system32\drivers\NMSCFG.SYS
0xF3B7E000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 30):
0 System Idle Process
4 System
588 C:\WINDOWS\system32\smss.exe
668 csrss.exe
692 C:\WINDOWS\system32\winlogon.exe
736 C:\WINDOWS\system32\services.exe
748 C:\WINDOWS\system32\lsass.exe
904 C:\WINDOWS\system32\svchost.exe
960 svchost.exe
1000 C:\WINDOWS\system32\svchost.exe
1020 C:\Programme\Ahead\InCD\InCDsrv.exe
1212 svchost.exe
1320 svchost.exe
1424 C:\WINDOWS\explorer.exe
1532 C:\WINDOWS\system32\spoolsv.exe
1588 C:\Programme\Avira\AntiVir Desktop\sched.exe
1760 C:\WINDOWS\system32\PROMon.exe
1772 C:\WINDOWS\SOUNDMAN.EXE
1780 C:\Programme\Logitech\iTouch\iTouch.exe
1820 C:\Programme\Ahead\InCD\InCD.exe
1836 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1860 C:\WINDOWS\system32\ctfmon.exe
1932 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1988 C:\WINDOWS\system32\NMSSvc.Exe
224 C:\WINDOWS\system32\svchost.exe
1332 D:\Wetter\WeatherLink551\WeatherLink551.exe
1728 alg.exe
2312 C:\WINDOWS\system32\wuauclt.exe
2832 C:\Programme\Mozilla Firefox\firefox.exe
3240 C:\Dokumente und Einstellungen\A\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000002`71167600 (NTFS)

PhysicalDrive0 Model Number: WDCWD400EB-00CPF0, Rev: 06.04G06

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Das alte System kommt einfach daher, dass ich hier nur Modemgeschwindigkeit habe und nicht einfach mal 100 oder mehr MB herunterladen kann. Wenn ich aber weiß, was ich benötige (sicherlich SP3 und sowas), kann ich das auch auf einem anderen Rechner runterladen und dann per Stick mitbringen und installieren.

Soweit erstmal, hoffe die Scans bringen was.
Viele Grüße
Andreas

Alt 27.05.2011, 19:59   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Zitat:
Das alte System kommt einfach daher, dass ich hier nur Modemgeschwindigkeit habe und nicht einfach mal 100 oder mehr MB herunterladen kann.
Ok. das macht das ganze schwieriger. Es gibt aber auch Alternativen, man kann sich sowas wie IE8, SP3 und weitere Updates komplett laden und auf ne CD brennen oder einem Stick kopieren. Falls ich es vergesse zu erwähnen, sprich mich nochmal drauf an.


Mach bitte jetzt zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.05.2011, 22:02   #13
lumememm
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Hallo Arne,
hab beide Scanner laufen lassen (s.u.) - nichts gefunden. Den Onlinescanner hab ich wegen der Modemgeschwindigkeit letztlich abgebrochen. Es scheint, dass mein System sauber ist?
Ich werde SP3 und IE8 extern herunterladen und installieren - soll ich noch etwas anderes updaten?
Beste Grüße
Andreas

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6702

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

28.05.2011 21:42:09
mbam-log-2011-05-28 (21-42-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 183500
Laufzeit: 36 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 05/28/2011 bei 10:56 PM

Version der Applikation : 4.53.1000

Version der Kern-Datenbank : 7161
Version der Spur-Datenbank : 4973

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:58:24

Gescannte Speicherelemente : 428
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 5822
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 181523
Erfasste Datei-Elemente : 0

Alt 28.05.2011, 23:43   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Ja dein Rechner scheint nun ok zu sein, Probleme hast du mit ihm ja auch nicht mer oder?

Hier die Updates und ein paar Hinweise zur Installation von SP3, IE8 und Folgeupdates:
  1. Das SP3 von hier downloaden => Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler (und ja es ist das richtige Paket für dich)
  2. Alle Programme beenden, Internetverbindung trennen, Virenscanner abstellen!
  3. SP3 instalieren, Anweisungen folgen - Installation sollte ca. 15-20 Minuten dauern. Kann auch schneller gehen, bei älteren Rechnern dauert es ca. ne halbe Stunde - nach der Installation Rechner neu starten
  4. IE8-Setup laden und ausführen => Internet Explorer 8 herunterladen - Microsoft Windows

Achte beim Setup des IE8 wieder dadrauf, dass vorher möglichst alle Programme beendet und der Virenscanner deaktiviert wurde. Im Setup selbst bitte nicht an dem Verbesserungsprogramm teilnehmen (oder wie MS das nennt) und auch KEINE Updates über das Setup installieren. Die installieren wir später, ich sag dir dann wie. Melde dich wenn der IE8 drauf ist.


Ein Updatepaket mit allen Updates nach Erscheinen des SP bekommst du hier => WinFuture Windows XP SP3 Update Pack 3.32 (Voll) - WinFuture.de
Wenn du den IE8 schon vorher installiert hast, nimmst du den Haken bei der Updatepack-Installation am besten raus.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.06.2011, 20:48   #15
lumememm
 
Windows recovery Virus - bekämpft, aber noch Symptome - Standard

Windows recovery Virus - bekämpft, aber noch Symptome


Hallo,
nein, Probleme treten nicht mehr auf. Hab jetzt auf SP3 aktualisiert und den neuen IE draufgehauen (auch wenn ich Firefox verwende). Die Updates des neuen SP3 muss ich noch extern runterladen, da auch wieder 180mb, ebenso das neue Avira (50mb).
Wie nun weiter?
Grüße Andreas

Antwort
Seite 1 von 2 1 2

Themen zu Windows recovery Virus - bekämpft, aber noch Symptome
.dll, antivir, avira, browser, desktop, disabletaskmgr, druck, einstellungen, firefox, google, heuristics.reserved.word.exploit, homepage, iexplore.exe, internet, log, löschen, maßnahme, moved, mozilla, nicht angezeigt, nt.dll, otl log, programme, prozesse, pum.hijack.homepagecontrol, recovery virus, restinfektion, sched.exe, seiten, services.exe, software, starten, surfen, svchost.exe, systemsicherheit, tcp/ip, verschwundene dateien, virus, vorbeugen, windows, windows system, windowsrecovery fake rouge scare virus, winlogon.exe


« virus in win7 sicherheitcenter ohne funktion ie9 öffnet späm | Virus Metropolitan Police »


Ähnliche Themen: Windows recovery Virus - bekämpft, aber noch Symptome


  1. BKA- Trojaner aber keine Symptome oder Probleme?
    Plagegeister aller Art und deren Bekämpfung - 05.02.2014 (3)
  2. Bundeskriminalamttrojaner bekämpft, aber verschlüsselte Dateien noch da, weil neue Art der verschlüsselung.
    Plagegeister aller Art und deren Bekämpfung - 05.09.2013 (13)
  3. Windows 7 neu installieren, Toshiba HDD Recovery vorhanden, funktioniert aber nicht
    Alles rund um Windows - 26.08.2013 (2)
  4. GVU Trojaner (März 2013, Windows 7) bekämpft, was fehlt aber noch?
    Plagegeister aller Art und deren Bekämpfung - 28.03.2013 (9)
  5. GVU-Trojaner mit Avira gelöscht - Symptome weg - Aber PC sauber?
    Log-Analyse und Auswertung - 21.11.2012 (2)
  6. Google redirect Virus ? Immer noch Symptome obwohl Antivir nichts mehr findet
    Log-Analyse und Auswertung - 07.12.2011 (22)
  7. Data Recovery Malware eingefangen und gemäß Anleitung hier bekämpft
    Log-Analyse und Auswertung - 06.11.2011 (1)
  8. Nach Entfernung von Windows Recovery Virus noch Reste in der Registry
    Plagegeister aller Art und deren Bekämpfung - 09.07.2011 (9)
  9. nach entfernen des windows recovery virus läuft der pc nur noch über abgesicherten modus
    Log-Analyse und Auswertung - 06.07.2011 (1)
  10. Windows Recovery entfernen, aber zuerst wieder C: herstellen!
    Plagegeister aller Art und deren Bekämpfung - 20.06.2011 (1)
  11. Windows recovery entfernt aber die Ordner sind noch durchsichtig
    Log-Analyse und Auswertung - 05.06.2011 (21)
  12. Virus verdeckt Dateien! Windows Recovery wurde schon von mir entfernt. Trotzdem spinnt noch etwas!
    Log-Analyse und Auswertung - 13.05.2011 (3)
  13. Microsoft Recovery Virus - Virus entfernt, aber Daten bleiben "unsichtbar"
    Log-Analyse und Auswertung - 28.04.2011 (5)
  14. Virus.Win32.virut!K - Gefunden - Bekämpft - Aber wirklich weg?
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (3)
  15. boo-sinowal erfolgreich bekämpft aber noch Fragen
    Plagegeister aller Art und deren Bekämpfung - 05.10.2009 (5)
  16. Windows startet nur noch über Recovery CD
    Alles rund um Windows - 26.07.2008 (9)
  17. TR/Vundo.gen erfolgreich bekämpft, aber er hat spuren hinterlassen...
    Plagegeister aller Art und deren Bekämpfung - 11.04.2007 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Windows recovery Virus - bekämpft, aber noch Symptome - Liebe Trojanerfeinde, vielen Dank bereits erst einmal für die bereits bestehenden Beiträge zum Thema "Windows recovery", dadurch konnte ich bereits Maßnahmen gegen die Infektion ergreifen. Dennoch scheinen nicht alle Symptome - Windows recovery Virus - bekämpft, aber noch Symptome...
Archiv
Du betrachtest: Windows recovery Virus - bekämpft, aber noch Symptome auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54