Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Verschlüsselungs-Trojaner am.9.6. eingefangen (https://www.trojaner-board.de/117313-verschluesselungs-trojaner-9-6-eingefangen.html)

Totalbird 14.06.2012 12:29
Verschlüsselungs-Trojaner am.9.6. eingefangen
 
Hallo, nach mehreren Tagen Recherche und lesen div. Threads hier im Forum, starte ich nun doch mal mit meinem Problem.
Vergangenen Samstag habe ich mir den Verschl. Trojaner eingefangen.
per Mail. bei mir ist es nicht ganz so schlimm hatte mit dem Shadow explorer, das meiste an Daten Widerherstellen können.
Bei meiner Nichte (von der ich den Trojaner her habe) ist das Laptop betroffen.

Allerdings komme ich da nicht mal in den abgesicherten Modus. NAch Auswahl, läd er die benötigten Einstellungen und ganz kurz biltzt ein Bluescreen auf und das Teil steht wieder auf dem Auswahlschirm vom Abnormalen Windows Start.

EIne OTLPENet CD habe ich mir gebrannt und den Scan laufen lassen, allerdings habe ich nur eine OTL.txt als Ergebniss, die Extras.txt fehlt bei mir.

Die sieht so bei mir aus:
Code:
OTL logfile created on: 6/14/2012 12:06:26 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): E:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 97.65 Gb Total Space | 93.68 Gb Free Space | 95.93% Space Free | Partition Type: NTFS
Drive D: | 135.22 Gb Total Space | 106.55 Gb Free Space | 78.80% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] --  -- (HidServ)
SRV - [2012/02/26 18:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto] -- D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011/02/24 06:24:12 | 000,389,960 | ---- | M] (CA) [Auto] -- C:\Programme\CA\eTrust Antivirus\InoTask.exe -- (InoTask)
SRV - [2010/03/03 04:06:04 | 000,283,888 | ---- | M] (CA, Inc.) [Auto] -- D:\Programme\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe -- (ITMRTSVC)
SRV - [2010/03/03 04:02:57 | 000,208,896 | ---- | M] (CA) [Auto] -- C:\Programme\CA\eTrust Antivirus\InoRT.exe -- (InoRT)
SRV - [2010/03/03 04:02:57 | 000,192,512 | ---- | M] (CA) [Auto] -- C:\Programme\CA\eTrust Antivirus\InoRpc.exe -- (InoRPC)
SRV - [2007/02/05 02:57:24 | 000,106,496 | ---- | M] (CA, Inc.) [Auto] -- D:\Programme\CA\SharedComponents\iTechnology\igateway.exe -- (iGateway)
SRV - [2007/01/19 10:16:46 | 000,061,440 | ---- | M] (AuthenTec,Inc) [Auto] -- D:\WINDOWS\system32\FpLogonServ.exe -- (FingerprintServer)
SRV - [2002/09/20 12:41:00 | 000,077,824 | ---- | M] (Computer Associates) [On_Demand] -- D:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe -- (CA_LIC_SRVR)
SRV - [2002/09/20 12:29:28 | 000,053,248 | ---- | M] (Computer Associates) [Auto] -- D:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe -- (LogWatch)
SRV - [2002/09/20 12:27:04 | 000,077,824 | ---- | M] (Computer Associates) [On_Demand] -- D:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe -- (CA_LIC_CLNT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2009/09/08 12:13:16 | 000,065,584 | ---- | M] (Citrix Systems, Inc.) [Kernel | System] -- D:\WINDOWS\system32\drivers\ctxusbm.sys -- (ctxusbm)
DRV - [2008/12/13 06:26:38 | 000,102,400 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- D:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2007/10/18 16:14:32 | 000,184,080 | ---- | M] (Computer Associates) [File_System | Auto] -- D:\WINDOWS\system32\drivers\ino_fltr.sys -- (INO_FLTR)
DRV - [2007/08/06 17:07:02 | 000,027,536 | ---- | M] (Computer Associates) [File_System | Boot] -- D:\WINDOWS\system32\drivers\ino_flpy.sys -- (INO_FLPY)
DRV - [2007/04/10 10:55:28 | 000,140,808 | ---- | M] (AuthenTec, Inc.) [Kernel | On_Demand] -- D:\WINDOWS\system32\drivers\atswpdrv.sys -- (ATSWPDRV) (****DEBUG****) AuthenTec TruePrint USB Driver (SwipeSensor)
DRV - [2007/02/24 09:42:22 | 000,039,936 | ---- | M] (REDC) [Kernel | Auto] -- D:\WINDOWS\system32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2007/02/16 10:46:42 | 000,160,256 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- D:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2007/01/30 13:57:00 | 004,474,368 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- D:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/01/23 12:03:28 | 000,037,376 | ---- | M] (REDC) [Kernel | Auto] -- D:\WINDOWS\system32\drivers\rixdptsk.sys -- (rismxdp)
DRV - [2007/01/23 11:40:20 | 000,042,496 | ---- | M] (REDC) [Kernel | Auto] -- D:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2006/11/08 08:49:42 | 000,012,544 | ---- | M] (Intel Corporation) [Kernel | Auto] -- D:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)
DRV - [2006/08/30 09:53:00 | 001,161,152 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- D:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\Saskia_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\Saskia_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\Saskia_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\Saskia_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 74 D4 8A C1 E3 A0 CB 01  [binary data]
IE - HKU\Saskia_ON_D\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} -  File not found
IE - HKU\Saskia_ON_D\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  File not found
IE - HKU\Saskia_ON_D\..\URLSearchHook: {f4e6547e-325b-403c-a3bb-ad29ed37a92f} -  File not found
IE - HKU\Saskia_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Saskia_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Programme\Microsoft Silverlight\4.0.60129.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: D:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: D:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: D:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: D:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: D:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - D:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - D:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  File not found
O2 - BHO: (Softonic Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} -  File not found
O2 - BHO: (SearchElf 1.2 Toolbar) - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} -  File not found
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - D:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  File not found
O3 - HKLM\..\Toolbar: (Softonic Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} -  File not found
O3 - HKLM\..\Toolbar: (SearchElf 1.2 Toolbar) - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} -  File not found
O3 - HKU\Saskia_ON_D\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} -  File not found
O3 - HKU\Saskia_ON_D\..\Toolbar\WebBrowser: (Softonic Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} -  File not found
O3 - HKU\Saskia_ON_D\..\Toolbar\WebBrowser: (SearchElf 1.2 Toolbar) - {F4E6547E-325B-403C-A3BB-AD29ED37A92F} -  File not found
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] D:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] D:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [APSDaemon] D:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [AzMixerSel] D:\Programme\Realtek\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ConnectionCenter] D:\Programme\Citrix\ICA Client\concentr.exe (Citrix Systems, Inc.)
O4 - HKLM..\Run: [FingerPrintSoftware] D:\Programme\Lenovo Fingerprint Software\fpapp.exe (Authentec,Inc)
O4 - HKLM..\Run: [NvCplDaemon] D:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] D:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [Realtime Monitor] C:\Programme\CA\eTrust Antivirus\realmon.exe (CA)
O4 - HKU\Saskia_ON_D..\Run: [14577AE6] D:\WINDOWS\system32\72FA3BF714577AE6325B.exe (Nonprofit organization offering health, educational, and distance learning Internet broadcasting services)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Saskia_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Saskia_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Saskia_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Saskia_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - D:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (E:\WINDOWS\system32\72FA3BF714577AE6325B.exe) - D:\WINDOWS\system32\72FA3BF714577AE6325B.exe (Nonprofit organization offering health, educational, and distance learning Internet broadcasting services)
O20 - Winlogon\Notify\ATFUS: DllName - E:\WINDOWS\system32\FpWinLogonNp.dll - D:\WINDOWS\system32\FpWinlogonNp.dll (AuthenTec,Inc)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/02/16 11:25:54 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
File not found -- D:\Dokumente und Einstellungen\Saskia\Desktop\SharePodSettings.xml
File not found -- D:\Dokumente und Einstellungen\Saskia\Desktop\SharePod.exe
File not found -- D:\Dokumente und Einstellungen\Saskia\Desktop\Mahnbescheid.zip
[2012/06/09 06:23:45 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Lzsrlzs
[2012/06/09 06:23:26 | 000,071,624 | -H-- | C] (Nonprofit organization offering health, educational, and distance learning Internet broadcasting services) -- D:\WINDOWS\System32\72FA3BF714577AE6325B.exe
[2012/05/20 12:44:33 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Dokumente\Bilder
[2012/05/20 12:38:21 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\Saskia\Desktop\Downloads
[2012/05/20 11:39:49 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Dokumente\Musik
[2012/05/20 11:10:42 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\Saskia\Desktop\Automatisch zu iTunes hinzufügen
[5 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]
[4 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
File not found -- D:\Dokumente und Einstellungen\Saskia\Desktop\SharePodSettings.xml
File not found -- D:\Dokumente und Einstellungen\Saskia\Desktop\SharePod.exe
File not found -- D:\Dokumente und Einstellungen\Saskia\Desktop\Mahnbescheid.zip
[2012/06/13 13:48:32 | 000,002,048 | --S- | M] () -- D:\WINDOWS\bootstat.dat
[2012/06/13 13:48:04 | 000,017,408 | ---- | M] () -- D:\WINDOWS\System32\rpcnetp.dll
[2012/06/13 13:47:34 | 000,017,408 | ---- | M] () -- D:\WINDOWS\System32\rpcnetp.exe
[2012/06/13 13:43:36 | 000,051,048 | ---- | M] () -- D:\WINDOWS\System32\nvapps.xml
[2012/06/13 13:43:24 | 000,002,206 | ---- | M] () -- D:\WINDOWS\System32\wpa.dbl
[2012/06/13 13:43:07 | 000,001,086 | ---- | M] () -- D:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/06/09 06:23:26 | 000,071,624 | -H-- | M] (Nonprofit organization offering health, educational, and distance learning Internet broadcasting services) -- D:\WINDOWS\System32\72FA3BF714577AE6325B.exe
[2012/06/09 06:18:12 | 000,001,090 | ---- | M] () -- D:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/06/06 09:52:00 | 000,481,078 | ---- | M] () -- D:\WINDOWS\System32\winsh323
[2012/06/06 09:51:42 | 000,481,078 | ---- | M] () -- D:\WINDOWS\System32\winsh322
[2012/06/06 09:51:18 | 000,481,078 | ---- | M] () -- D:\WINDOWS\System32\winsh321
[2012/06/06 09:50:48 | 000,481,078 | ---- | M] () -- D:\WINDOWS\System32\winsh320
[2012/06/02 05:01:00 | 000,000,228 | ---- | M] () -- D:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012/05/31 09:22:01 | 000,604,160 | ---- | M] (Microsoft Corporation) -- D:\WINDOWS\System32\dllcache\crypt32.dll
[2012/05/26 09:18:35 | 000,044,544 | ---- | M] (Absolute Software Corp.) -- D:\WINDOWS\System32\agremove.exe
[2012/05/20 15:27:34 | 000,118,152 | ---- | M] () -- D:\WINDOWS\System32\FNTCACHE.DAT
[2012/05/20 14:14:13 | 000,001,374 | ---- | M] () -- D:\WINDOWS\imsins.BAK
[2012/05/20 14:13:29 | 000,450,722 | ---- | M] () -- D:\WINDOWS\System32\perfh007.dat
[2012/05/20 14:13:29 | 000,434,368 | ---- | M] () -- D:\WINDOWS\System32\perfh009.dat
[2012/05/20 14:13:29 | 000,081,984 | ---- | M] () -- D:\WINDOWS\System32\perfc007.dat
[2012/05/20 14:13:29 | 000,069,324 | ---- | M] () -- D:\WINDOWS\System32\perfc009.dat
[2012/05/20 11:10:42 | 000,000,305 | ---- | M] () -- D:\Dokumente und Einstellungen\Saskia\Desktop\lpeaDXsTlpealpps
[5 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]
[4 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/06/09 06:23:58 | 000,481,078 | ---- | C] () -- D:\WINDOWS\System32\winsh325
[2012/06/09 06:23:58 | 000,481,078 | ---- | C] () -- D:\WINDOWS\System32\winsh324
[2012/06/09 06:23:58 | 000,481,078 | ---- | C] () -- D:\WINDOWS\System32\winsh323
[2012/06/09 06:23:58 | 000,481,078 | ---- | C] () -- D:\WINDOWS\System32\winsh322
[2012/06/09 06:23:58 | 000,481,078 | ---- | C] () -- D:\WINDOWS\System32\winsh321
[2012/06/09 06:23:58 | 000,481,078 | ---- | C] () -- D:\WINDOWS\System32\winsh320
[2012/06/02 04:34:50 | 000,017,408 | ---- | C] () -- D:\WINDOWS\System32\rpcnetp.dll
[2012/06/02 04:34:18 | 000,017,408 | ---- | C] () -- D:\WINDOWS\System32\rpcnetp.exe
[2012/02/18 22:05:06 | 000,003,072 | ---- | C] () -- D:\WINDOWS\System32\iacenc.dll
[2010/10/17 08:07:45 | 000,003,584 | ---- | C] () -- D:\Dokumente und Einstellungen\Saskia\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/06/04 23:53:07 | 000,013,274 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yULsAjVoxqdOXQ
[2009/02/16 14:17:20 | 000,086,016 | ---- | C] () -- D:\WINDOWS\System32\preflib.dll
[2009/02/16 14:17:19 | 000,757,760 | ---- | C] () -- D:\WINDOWS\System32\bcm1xsup.dll
[2009/02/16 14:17:19 | 000,020,480 | ---- | C] () -- D:\WINDOWS\System32\WLTRYSVC.EXE
[2009/02/16 14:16:19 | 000,016,480 | ---- | C] () -- D:\WINDOWS\System32\rixdicon.dll
[2009/02/16 14:10:23 | 000,000,176 | ---- | C] () -- D:\WINDOWS\System32\drivers\RTHDAEQ0.dat
[2009/02/16 14:10:21 | 000,049,152 | ---- | C] () -- D:\WINDOWS\System32\ChCfg.exe
[2009/02/16 12:16:50 | 000,000,046 | ---- | C] () -- D:\WINDOWS\InoSetup.ini
[2009/02/16 12:11:13 | 000,036,864 | ---- | C] () -- D:\WINDOWS\RmvDir.exe
[2009/02/16 12:08:31 | 000,000,400 | ---- | C] () -- D:\WINDOWS\ODBC.INI
[2009/02/16 11:29:17 | 000,002,048 | --S- | C] () -- D:\WINDOWS\bootstat.dat
[2009/02/16 11:22:37 | 000,021,740 | ---- | C] () -- D:\WINDOWS\System32\emptyregdb.dat
[2009/02/16 11:07:18 | 000,004,161 | ---- | C] () -- D:\WINDOWS\ODBCINST.INI
[2009/02/16 11:05:56 | 000,118,152 | ---- | C] () -- D:\WINDOWS\System32\FNTCACHE.DAT
[2007/03/21 17:31:34 | 001,662,976 | ---- | C] () -- D:\WINDOWS\System32\nvwdmcpl.dll
[2007/03/21 17:31:34 | 001,622,016 | ---- | C] () -- D:\WINDOWS\System32\nwiz.exe
[2007/03/21 17:31:34 | 001,019,904 | ---- | C] () -- D:\WINDOWS\System32\nvwimg.dll
[2007/03/21 17:31:32 | 001,470,464 | ---- | C] () -- D:\WINDOWS\System32\nview.dll
[2007/03/21 17:31:32 | 001,339,392 | ---- | C] () -- D:\WINDOWS\System32\nvdspsch.exe
[2007/03/21 17:31:32 | 000,573,440 | ---- | C] () -- D:\WINDOWS\System32\nvhwvid.dll
[2007/03/21 17:31:32 | 000,466,944 | ---- | C] () -- D:\WINDOWS\System32\nvshell.dll
[2007/03/21 17:31:32 | 000,442,368 | ---- | C] () -- D:\WINDOWS\System32\nvappbar.exe
[2007/03/21 17:31:32 | 000,098,304 | ---- | C] () -- D:\WINDOWS\System32\nvapi.dll
[2007/03/21 17:31:30 | 000,425,984 | ---- | C] () -- D:\WINDOWS\System32\keystone.exe
[2004/08/04 08:00:00 | 013,107,200 | ---- | C] () -- D:\WINDOWS\System32\oembios.bin
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- D:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,626,176 | ---- | C] () -- D:\WINDOWS\System32\autochk.exe
[2004/08/04 08:00:00 | 000,450,722 | ---- | C] () -- D:\WINDOWS\System32\perfh007.dat
[2004/08/04 08:00:00 | 000,434,368 | ---- | C] () -- D:\WINDOWS\System32\perfh009.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- D:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- D:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- D:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,081,984 | ---- | C] () -- D:\WINDOWS\System32\perfc007.dat
[2004/08/04 08:00:00 | 000,069,324 | ---- | C] () -- D:\WINDOWS\System32\perfc009.dat
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- D:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- D:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- D:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- D:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,004,463 | ---- | C] () -- D:\WINDOWS\System32\oembios.dat
[2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- D:\WINDOWS\System32\dcache.bin
[2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- D:\WINDOWS\System32\noise.dat
[1601/02/13 04:28:18 | 000,013,274 | ---- | C] () -- D:\Dokumente und Einstellungen\Saskia\Lokale Einstellungen\Anwendungsdaten\yLjEqnAEyLjoTepDasXl
 
========== LOP Check ==========
 
[2012/04/03 04:48:02 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Citrix
[2012/04/01 07:33:06 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012/06/02 05:01:00 | 000,000,228 | ---- | M] () -- D:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 22528 bytes -> D:\WINDOWS\System32\autochk.exe:BAK
< End of report >
Vielen Dank schonmal im Vorraus an Euch für die Annahme

Gruss T.

cosinus 18.06.2012 11:27
Und um welchen Rechner geht es hier jetzt? Um das Notebook deiner Nichte oder um deinen?
Pro Strang wird hier immer nur ein Rechner behandelt weil sonst einfach das Risiko einer Verwechselung zu hoch ist.

Totalbird 19.06.2012 16:27
Es geht schon um den Laptop meiner Nichte.

Von diesem ist auch die OTL. Meiner ist mittlerweile neu aufgesetzt, da ich auf die Daten verzichtet habe bzw. Backup hatte.

Gruss T.

cosinus 19.06.2012 22:29
Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKU\Saskia_ON_D..\Run: [14577AE6] D:\WINDOWS\system32\72FA3BF714577AE6325B.exe (Nonprofit organization offering health, educational, and distance learning Internet broadcasting services)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Saskia_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Saskia_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Saskia_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Saskia_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O20 - HKLM Winlogon: UserInit - (E:\WINDOWS\system32\72FA3BF714577AE6325B.exe) - D:\WINDOWS\system32\72FA3BF714577AE6325B.exe (Nonprofit organization offering health, educational, and distance learning Internet broadcasting services)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/02/16 11:25:54 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
[2012/06/09 06:23:45 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Lzsrlzs
[2012/06/06 09:52:00 | 000,481,078 | ---- | M] () -- D:\WINDOWS\System32\winsh323
[2012/06/06 09:51:42 | 000,481,078 | ---- | M] () -- D:\WINDOWS\System32\winsh322
[2012/06/06 09:51:18 | 000,481,078 | ---- | M] () -- D:\WINDOWS\System32\winsh321
[2012/06/06 09:50:48 | 000,481,078 | ---- | M] () -- D:\WINDOWS\System32\winsh320
[2012/05/20 11:10:42 | 000,000,305 | ---- | M] () -- D:\Dokumente und Einstellungen\Saskia\Desktop\lpeaDXsTlpealpps
[2009/06/04 23:53:07 | 000,013,274 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yULsAjVoxqdOXQ
@Alternate Data Stream - 22528 bytes -> D:\WINDOWS\System32\autochk.exe:BAK
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Totalbird 20.06.2012 11:32
Hallo Arne,

habe gerade die MovedFiles in den Upchannel hochgeladen.

P.S: die Logfile wurde nach dem Klick auf FIX nicht geöffnet. Welche ist das namentlich und/oder benötigst Du die auch noch ?
P.P.S: der Rechner hat auch nicht neu gestartet (obwohl ausgewählt) Reatogo X-PE kann ich auch nicht mit den herkömlichen Mitteln (Button shutdown/Restart) dazu bewegen neu zu starten.

Gruss T.

cosinus 20.06.2012 12:08
Einfach resetten!
Du solltest ja auch prüfen ob Windows wieder normal startet!

Totalbird 20.06.2012 12:42
Ok Ok, Reset ist erfolgt.

Windows startet normal wieder.

Gruss T.

cosinus 20.06.2012 15:06
Bitte jetzt routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Totalbird 20.06.2012 16:40
Hallo Arne,

anbei die Logs vom Malwarebytes und vom Eset Scan.

Code:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.20.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Saskia :: SASKIAS [Administrator]

20.06.2012 15:17:30
mbam-log-2012-06-20 (15-17-30).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 259375
Laufzeit: 44 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
E:\Dokumente und Einstellungen\Saskia\Lokale Einstellungen\Temp\xodqfwymyk.pre (Backdoor.Bot.LameNova) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Dokumente und Einstellungen\Saskia\Lokale Einstellungen\Temp\zlrszlrszl.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\_OTL\MovedFiles\06202012_131939\D_Dokumente und Einstellungen\Saskia\Anwendungsdaten\Lzsrlzs\557190C614577AE6009A.exe (Backdoor.Bot.LameNova) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\_OTL\MovedFiles\06202012_131939\D_WINDOWS\system32\72FA3BF714577AE6325B.exe (Backdoor.Bot.LameNova) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
ESET LOG

Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=b1926eae82aebe40a58e73f4ef757b66
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-20 03:29:26
# local_time=2012-06-20 05:29:26 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 198 198 0 0
# scanned=66884
# found=1
# cleaned=0
# scan_time=2502
E:\Dokumente und Einstellungen\Saskia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9TEWDVTY\Nachzahlung[1].zip        Win32/Trustezeb.B trojan (unable to clean)        00000000000000000000000000000000        I

cosinus 20.06.2012 22:46
Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Totalbird 21.06.2012 11:44
Hallo Arne,

zu 1.) der normale Modus von Windows funtioniert soweit wieder uneingeschränkt

zu 2.) Im Startmenü vermisse ich nichts , im Programm Menü sind auch keine leeren Ordner.

Gruss Thomas

cosinus 21.06.2012 13:36
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Totalbird 21.06.2012 15:12
Hallo Arne,

anbei das Log vom OTL Quickscan.
Code:
OTL logfile created on: 21.06.2012 16:01:25 - Run 1
OTL by OldTimer - Version 3.2.50.0    Folder = E:\Dokumente und Einstellungen\Saskia\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,37 Gb Available Physical Memory | 68,55% Memory free
3,85 Gb Paging File | 3,34 Gb Available in Paging File | 86,76% Paging File free
Paging file location(s): E:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = E: | %SystemRoot% = E:\WINDOWS | %ProgramFiles% = E:\Programme
Drive C: | 97,65 Gb Total Space | 93,68 Gb Free Space | 95,93% Space Free | Partition Type: NTFS
Drive E: | 135,22 Gb Total Space | 106,28 Gb Free Space | 78,59% Space Free | Partition Type: NTFS
Drive F: | 1007,98 Mb Total Space | 715,39 Mb Free Space | 70,97% Space Free | Partition Type: FAT
 
Computer Name: SASKIAS | User Name: Saskia | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.06.21 15:58:54 | 000,596,992 | ---- | M] (OldTimer Tools) -- E:\Dokumente und Einstellungen\Saskia\Desktop\OTL.exe
PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- E:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.04.04 15:56:38 | 000,462,408 | ---- | M] (Malwarebytes Corporation) -- E:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.02.27 00:15:42 | 000,055,144 | ---- | M] (Apple Inc.) -- E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2011.01.02 21:29:50 | 000,009,216 | ---- | M] (www.shadowexplorer.com) -- E:\Programme\ShadowExplorer\sesvc.exe
PRC - [2010.03.03 10:06:04 | 000,283,888 | ---- | M] (CA, Inc.) -- E:\Programme\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe
PRC - [2009.09.12 23:09:10 | 000,103,768 | ---- | M] (Citrix Systems, Inc.) -- E:\Programme\Citrix\ICA Client\concentr.exe
PRC - [2009.09.12 23:09:04 | 000,550,232 | ---- | M] (Citrix Systems, Inc.) -- E:\Programme\Citrix\ICA Client\wfcrun32.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- E:\WINDOWS\explorer.exe
PRC - [2008.02.08 18:58:44 | 000,407,368 | ---- | M] (CA) -- C:\Programme\CA\eTrust Antivirus\Realmon.exe
PRC - [2007.02.05 08:57:24 | 000,106,496 | ---- | M] (CA, Inc.) -- E:\Programme\CA\SharedComponents\iTechnology\igateway.exe
PRC - [2007.01.19 16:16:46 | 000,061,440 | ---- | M] (AuthenTec,Inc) -- E:\WINDOWS\system32\FpLogonServ.exe
PRC - [2002.09.20 18:29:28 | 000,053,248 | ---- | M] (Computer Associates) -- E:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.05.23 16:53:34 | 017,403,904 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\bc254d2fa26664898ae21d45643bc194\System.ServiceModel.ni.dll
MOD - [2012.05.23 16:52:47 | 000,212,992 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\8dc4a28c456f81ee7399da21bd9d55aa\System.ServiceProcess.ni.dll
MOD - [2012.05.23 16:52:46 | 011,817,472 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\7861cd979ea5db3fb7d30ed94fb0edd2\System.Web.ni.dll
MOD - [2012.05.20 20:13:07 | 000,261,632 | ---- | M] () -- E:\WINDOWS\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll
MOD - [2012.05.20 19:30:53 | 002,345,472 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\505e12638acd6fdb22e1fd2d4c6fc232\System.Runtime.Serialization.ni.dll
MOD - [2012.05.20 19:30:40 | 001,070,080 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\e09496ddb2bf6f3b69707924f2e6b5ff\System.IdentityModel.ni.dll
MOD - [2012.05.20 18:15:34 | 000,256,000 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\660c4d6dd69ef22bc05587e1998cd135\SMDiagnostics.ni.dll
MOD - [2012.05.20 18:14:56 | 000,627,200 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Transactions\41f6f6dd0c8427d4a8e6fd3915505a6b\System.Transactions.ni.dll
MOD - [2012.05.20 18:14:22 | 000,971,264 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\3d5b7368bde0f65aa15d9f46b498cc89\System.Configuration.ni.dll
MOD - [2012.05.20 16:43:45 | 005,450,752 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\3bba1b8b0b5ef0be238b011cc7a0575e\System.Xml.ni.dll
MOD - [2012.05.20 16:41:12 | 007,953,408 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\e4b5afc4da43b1c576f9322f9f2e1bfe\System.ni.dll
MOD - [2012.05.20 16:40:57 | 011,492,352 | ---- | M] () -- E:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\e337c89bc9f81b69d7237aa70e935900\mscorlib.ni.dll
MOD - [2012.02.20 21:29:04 | 000,087,912 | ---- | M] () -- E:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll
MOD - [2012.02.20 21:28:42 | 001,242,472 | ---- | M] () -- E:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll
MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2008.04.14 04:22:16 | 000,014,336 | ---- | M] () -- E:\WINDOWS\system32\msdmo.dll
MOD - [2008.02.08 19:01:54 | 000,143,360 | ---- | M] () -- C:\Programme\CA\eTrust Antivirus\Lang\German\RealmonRes.dll
MOD - [2007.02.05 08:57:22 | 000,974,848 | ---- | M] () -- E:\Programme\CA\SharedComponents\iTechnology\libetpki_openssl_crypto.dll
MOD - [2007.02.05 08:57:22 | 000,798,720 | ---- | M] () -- E:\Programme\CA\SharedComponents\iTechnology\libeay32.dll
MOD - [2007.02.05 08:57:22 | 000,184,320 | ---- | M] () -- E:\Programme\CA\SharedComponents\iTechnology\libetpki_openssl_ssl.dll
MOD - [2007.02.05 08:57:22 | 000,155,648 | ---- | M] () -- E:\Programme\CA\SharedComponents\iTechnology\ssleay32.dll
MOD - [2007.02.05 08:57:22 | 000,073,728 | ---- | M] () -- E:\Programme\CA\SharedComponents\iTechnology\zlib.dll
MOD - [2006.11.20 19:04:06 | 000,856,064 | ---- | M] () -- E:\Programme\Lenovo Fingerprint Software\SharedResources.dll
MOD - [2006.11.08 11:15:58 | 000,118,784 | ---- | M] () -- E:\Programme\Intel\Wireless\Bin\iWMSProv.dll
MOD - [2006.11.08 11:14:30 | 000,348,160 | ---- | M] () -- E:\Programme\Intel\Wireless\Bin\IntStngs.dll
MOD - [2006.10.12 17:28:48 | 000,757,760 | ---- | M] () -- E:\WINDOWS\system32\bcm1xsup.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- E:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.02.27 00:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto | Running] -- E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011.02.24 12:24:12 | 000,389,960 | ---- | M] (CA) [Auto | Stopped] -- C:\Programme\CA\eTrust Antivirus\InoTask.exe -- (InoTask)
SRV - [2011.01.02 21:29:50 | 000,009,216 | ---- | M] (www.shadowexplorer.com) [Auto | Running] -- E:\Programme\ShadowExplorer\sesvc.exe -- (sesvc)
SRV - [2010.03.03 10:06:04 | 000,283,888 | ---- | M] (CA, Inc.) [Auto | Running] -- E:\Programme\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe -- (ITMRTSVC)
SRV - [2010.03.03 10:02:57 | 000,208,896 | ---- | M] (CA) [Auto | Stopped] -- C:\Programme\CA\eTrust Antivirus\InoRT.exe -- (InoRT)
SRV - [2010.03.03 10:02:57 | 000,192,512 | ---- | M] (CA) [Auto | Stopped] -- C:\Programme\CA\eTrust Antivirus\InoRPC.exe -- (InoRPC)
SRV - [2007.02.05 08:57:24 | 000,106,496 | ---- | M] (CA, Inc.) [Auto | Running] -- E:\Programme\CA\SharedComponents\iTechnology\igateway.exe -- (iGateway)
SRV - [2007.01.19 16:16:46 | 000,061,440 | ---- | M] (AuthenTec,Inc) [Auto | Running] -- E:\WINDOWS\system32\FpLogonServ.exe -- (FingerprintServer)
SRV - [2002.09.20 18:41:00 | 000,077,824 | ---- | M] (Computer Associates) [On_Demand | Stopped] -- E:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe -- (CA_LIC_SRVR)
SRV - [2002.09.20 18:29:28 | 000,053,248 | ---- | M] (Computer Associates) [Auto | Running] -- E:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe -- (LogWatch)
SRV - [2002.09.20 18:27:04 | 000,077,824 | ---- | M] (Computer Associates) [On_Demand | Stopped] -- E:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe -- (CA_LIC_CLNT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\tocul.sys -- (heypjtw)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- E:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2009.09.08 18:13:16 | 000,065,584 | ---- | M] (Citrix Systems, Inc.) [Kernel | System | Running] -- E:\WINDOWS\system32\drivers\ctxusbm.sys -- (ctxusbm)
DRV - [2008.12.13 12:26:38 | 000,102,400 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- E:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2007.10.18 22:14:32 | 000,184,080 | ---- | M] (Computer Associates) [File_System | Auto | Running] -- E:\WINDOWS\system32\drivers\ino_fltr.sys -- (INO_FLTR)
DRV - [2007.08.06 23:07:02 | 000,027,536 | ---- | M] (Computer Associates) [File_System | Boot | Running] -- E:\WINDOWS\system32\drivers\ino_flpy.sys -- (INO_FLPY)
DRV - [2007.04.10 16:55:28 | 000,140,808 | ---- | M] (AuthenTec, Inc.) [Kernel | On_Demand | Running] -- E:\WINDOWS\system32\drivers\atswpdrv.sys -- (ATSWPDRV) (****DEBUG****) AuthenTec TruePrint USB Driver (SwipeSensor)
DRV - [2007.02.24 15:42:22 | 000,039,936 | ---- | M] (REDC) [Kernel | Auto | Running] -- E:\WINDOWS\system32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2007.02.16 16:46:42 | 000,160,256 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- E:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2007.01.30 19:57:00 | 004,474,368 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- E:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.01.23 18:03:28 | 000,037,376 | ---- | M] (REDC) [Kernel | Auto | Running] -- E:\WINDOWS\system32\drivers\rixdptsk.sys -- (rismxdp)
DRV - [2007.01.23 17:40:20 | 000,042,496 | ---- | M] (REDC) [Kernel | Auto | Running] -- E:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2006.11.08 14:49:42 | 000,012,544 | ---- | M] (Intel Corporation) [Kernel | Auto | Running] -- E:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)
DRV - [2006.08.30 15:53:00 | 001,161,152 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- E:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 74 D4 8A C1 E3 A0 CB 01  [binary data]
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - SOFTWARE\Classes\CLSID\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\InprocServer32 File not found
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\URLSearchHook: {f4e6547e-325b-403c-a3bb-ad29ed37a92f} - SOFTWARE\Classes\CLSID\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}\InprocServer32 File not found
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\SearchScopes,DefaultScope = {DCADCBAE-6423-40A1-8AC5-B8D657B6B457}
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=STC&o=16078&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=I7&apn_dtid=YYYYYYYYDE&apn_uid=25455365-AB2F-44A3-8F4C-94367A957717&apn_sauid=F3B9156A-4E64-476B-9001-31E8AD4100FF
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2769726
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\SearchScopes\{DCADCBAE-6423-40A1-8AC5-B8D657B6B457}: "URL" = hxxp://www.google.de/search?q={searchTerms}&rlz=1I7ADFA_deDE347
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: E:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: e:\Programme\Microsoft Silverlight\4.0.60129.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: E:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: E:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: e:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: E:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: E:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: E:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
O1 HOSTS File: ([2012.06.20 19:19:48 | 000,000,098 | ---- | M]) - E:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - E:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - E:\Programme\softonic-de3\prxtbsof0.dll File not found
O2 - BHO: (Softonic Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll File not found
O2 - BHO: (SearchElf 1.2 Toolbar) - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} - E:\Programme\SearchElf_1.2\tbSea0.dll File not found
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - E:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - E:\Programme\softonic-de3\prxtbsof0.dll File not found
O3 - HKLM\..\Toolbar: (Softonic Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (SearchElf 1.2 Toolbar) - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} - E:\Programme\SearchElf_1.2\tbSea0.dll File not found
O3 - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - E:\Programme\softonic-de3\prxtbsof0.dll File not found
O3 - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\Toolbar\WebBrowser: (Softonic Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll File not found
O3 - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\Toolbar\WebBrowser: (SearchElf 1.2 Toolbar) - {F4E6547E-325B-403C-A3BB-AD29ED37A92F} - E:\Programme\SearchElf_1.2\tbSea0.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] E:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [APSDaemon] E:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [AzMixerSel] E:\Programme\Realtek\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ConnectionCenter] E:\Programme\Citrix\ICA Client\concentr.exe (Citrix Systems, Inc.)
O4 - HKLM..\Run: [FingerPrintSoftware] E:\Programme\Lenovo Fingerprint Software\fpapp.exe (Authentec,Inc)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] E:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] E:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] E:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [Realtime Monitor] C:\Programme\CA\eTrust Antivirus\realmon.exe (CA)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - E:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..Trusted Domains: localhost ([]http in Lokales Intranet)
O15 - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..Trusted Domains: unielektro.de ([access] https in Vertrauenswürdige Sites)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.129.32.1 10.111.81.129
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B5D01638-BC65-4475-814D-7672E2FA8058}: DhcpNameServer = 10.129.32.1 10.111.81.129
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - E:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (e:\windows\system32\userinit.exe) - E:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\ATFUS: DllName - (E:\WINDOWS\system32\FpWinLogonNp.dll) - E:\WINDOWS\system32\FpWinlogonNp.dll (AuthenTec,Inc)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{3d9fb594-3667-11df-968c-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{3d9fb594-3667-11df-968c-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3d9fb594-3667-11df-968c-001eec99e93b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{3d9fb595-3667-11df-968c-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{3d9fb595-3667-11df-968c-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3d9fb595-3667-11df-968c-001eec99e93b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{74eea9e8-188e-11df-966e-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{74eea9e8-188e-11df-966e-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{74eea9e8-188e-11df-966e-001eec99e93b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{74eea9ec-188e-11df-966e-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{74eea9ec-188e-11df-966e-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{74eea9ec-188e-11df-966e-001eec99e93b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{d46d50aa-f614-11de-9668-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{d46d50aa-f614-11de-9668-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d46d50aa-f614-11de-9668-001eec99e93b}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{e9c774b2-c981-11df-9700-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{e9c774b2-c981-11df-9700-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e9c774b2-c981-11df-9700-001eec99e93b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{fc548a0c-2698-11df-967d-001eec99e93b}\Shell\AutoRun\command - "" = F:\Menu.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O35 - HKU\S-1-5-21-1547161642-920026266-839522115-1003..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKU\S-1-5-21-1547161642-920026266-839522115-1003\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
 
 
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection E:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - E:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - e:\WINDOWS\system32\Rundll32.exe e:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - E:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - E:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - E:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "E:\WINDOWS\system32\rundll32.exe" "E:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - E:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - E:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - E:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - E:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - E:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - E:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - E:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - E:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - E:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.06.21 15:58:15 | 000,000,000 | ---D | C] -- E:\WINDOWS\LastGood
[2012.06.21 15:50:17 | 000,596,992 | ---- | C] (OldTimer Tools) -- E:\Dokumente und Einstellungen\Saskia\Desktop\OTL.exe
[2012.06.21 12:58:57 | 000,000,000 | ---D | C] -- E:\Reparatur
[2012.06.21 12:32:51 | 000,000,000 | ---D | C] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\www.shadowexplorer.com
[2012.06.21 12:32:13 | 000,000,000 | ---D | C] -- E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ShadowExplorer
[2012.06.21 12:32:08 | 000,000,000 | ---D | C] -- E:\Programme\ShadowExplorer
[2012.06.20 19:19:44 | 002,237,440 | R--- | C] (OldTimer Tools) -- E:\OTLPE.exe
[2012.06.20 19:19:39 | 000,000,000 | ---D | C] -- E:\_OTL
[2012.06.20 16:44:25 | 000,000,000 | ---D | C] -- E:\Programme\ESET
[2012.06.20 16:30:52 | 000,000,000 | -HSD | C] -- E:\found.000
[5 E:\WINDOWS\System32\*.tmp files -> E:\WINDOWS\System32\*.tmp -> ]
[4 E:\WINDOWS\*.tmp files -> E:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.06.21 16:01:00 | 000,000,228 | ---- | M] () -- E:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012.06.21 15:58:54 | 000,596,992 | ---- | M] (OldTimer Tools) -- E:\Dokumente und Einstellungen\Saskia\Desktop\OTL.exe
[2012.06.21 13:18:00 | 000,001,090 | ---- | M] () -- E:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.06.21 13:18:00 | 000,001,086 | ---- | M] () -- E:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.06.21 12:32:13 | 000,001,532 | ---- | M] () -- E:\Dokumente und Einstellungen\Saskia\Desktop\ShadowExplorer.lnk
[2012.06.21 12:27:50 | 000,051,048 | ---- | M] () -- E:\WINDOWS\System32\nvapps.xml
[2012.06.21 12:27:49 | 000,002,206 | ---- | M] () -- E:\WINDOWS\System32\wpa.dbl
[2012.06.21 12:27:13 | 000,002,048 | --S- | M] () -- E:\WINDOWS\bootstat.dat
[2012.06.20 16:32:38 | 000,017,408 | ---- | M] () -- E:\WINDOWS\System32\rpcnetp.dll
[2012.06.20 16:32:06 | 000,017,408 | ---- | M] () -- E:\WINDOWS\System32\rpcnetp.exe
[2012.06.20 14:42:51 | 000,000,756 | ---- | M] () -- E:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.06.09 12:24:25 | 000,069,554 | ---- | M] () -- E:\Dokumente und Einstellungen\Saskia\Desktop\OTJlrjVLsyUtAULxq
[2012.05.26 15:18:35 | 000,044,544 | ---- | M] (Absolute Software Corp.) -- E:\WINDOWS\System32\agremove.exe
[5 E:\WINDOWS\System32\*.tmp files -> E:\WINDOWS\System32\*.tmp -> ]
[4 E:\WINDOWS\*.tmp files -> E:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.06.21 12:32:13 | 000,001,532 | ---- | C] () -- E:\Dokumente und Einstellungen\Saskia\Desktop\ShadowExplorer.lnk
[2012.06.09 12:23:58 | 000,481,078 | ---- | C] () -- E:\WINDOWS\System32\winsh325
[2012.06.09 12:23:58 | 000,481,078 | ---- | C] () -- E:\WINDOWS\System32\winsh324
[2012.06.02 10:34:50 | 000,017,408 | ---- | C] () -- E:\WINDOWS\System32\rpcnetp.dll
[2012.06.02 10:34:18 | 000,017,408 | ---- | C] () -- E:\WINDOWS\System32\rpcnetp.exe
[2012.02.19 04:05:06 | 000,003,072 | ---- | C] () -- E:\WINDOWS\System32\iacenc.dll
[2010.10.17 14:07:45 | 000,003,584 | ---- | C] () -- E:\Dokumente und Einstellungen\Saskia\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== LOP Check ==========
 
[2012.04.03 10:48:02 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Citrix
[2012.04.01 13:33:06 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012.04.03 10:45:12 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Citrix
[2012.04.03 11:15:45 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\ICAClient
[2012.04.03 10:45:12 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Netscape
[2011.04.16 23:46:43 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\PriceGong
[2010.12.21 10:05:36 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\SharePod
[2012.06.21 12:32:51 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\www.shadowexplorer.com
[2012.06.21 16:01:00 | 000,000,228 | ---- | M] () -- E:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2010.09.13 12:01:50 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Adobe
[2012.05.20 18:38:14 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Apple Computer
[2012.04.03 10:45:12 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Citrix
[2009.09.30 21:44:15 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Google
[2012.04.03 11:15:45 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\ICAClient
[2009.02.16 17:38:39 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Identities
[2009.02.17 20:55:19 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Macromedia
[2011.04.18 22:03:58 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Malwarebytes
[2012.06.21 12:33:03 | 000,000,000 | --SD | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Microsoft
[2012.04.03 10:45:12 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Mozilla
[2012.04.03 10:45:12 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\Netscape
[2011.04.16 23:46:43 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\PriceGong
[2010.12.21 10:05:36 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\SharePod
[2009.12.31 16:47:58 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\U3
[2012.06.21 12:32:51 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\www.shadowexplorer.com
 
< %APPDATA%\*.exe /s >
[2006.05.24 14:36:38 | 000,110,592 | ---- | M] () -- E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\U3\temp\cleanup.exe
 
< %SYSTEMDRIVE%\*.exe >
[2011.07.13 04:55:05 | 002,237,440 | R--- | M] (OldTimer Tools) -- E:\OTLPE.exe
 
< MD5 for: AGP440.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- E:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2009.02.16 21:24:27 | 023,898,261 | ---- | M] () .cab file -- E:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2009.02.16 21:24:27 | 023,898,261 | ---- | M] () .cab file -- E:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- E:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- E:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- E:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2009.02.16 21:24:27 | 023,898,261 | ---- | M] () .cab file -- E:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2009.02.16 21:24:27 | 023,898,261 | ---- | M] () .cab file -- E:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- E:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- E:\WINDOWS\system32\drivers\atapi.sys
[2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- E:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- E:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys
[2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- E:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- E:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- E:\WINDOWS\system32\eventlog.dll
[2004.08.04 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- E:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- E:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- E:\WINDOWS\system32\netlogon.dll
[2004.08.04 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- E:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- E:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- E:\WINDOWS\system32\scecli.dll
[2004.08.04 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- E:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2005.03.02 20:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- E:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2005.03.02 20:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- E:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2004.08.04 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- E:\WINDOWS\$NtUninstallKB890859$\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- E:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- E:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- E:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- E:\WINDOWS\system32\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- E:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- E:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- E:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- E:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- E:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- E:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- E:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2009.02.16 18:05:00 | 000,094,208 | ---- | M] () -- E:\WINDOWS\System32\config\default.sav
[2009.02.16 18:05:00 | 000,663,552 | ---- | M] () -- E:\WINDOWS\System32\config\software.sav
[2009.02.16 18:05:00 | 000,450,560 | ---- | M] () -- E:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[5 E:\WINDOWS\system32\*.tmp files -> E:\WINDOWS\system32\*.tmp -> ]
 
<          >

< End of report >

cosinus 21.06.2012 15:32
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=STC&o=16078&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=I7&apn_dtid=YYYYYYYYDE&apn_uid=25455365-AB2F-44A3-8F4C-94367A957717&apn_sauid=F3B9156A-4E64-476B-9001-31E8AD4100FF
IE - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2769726
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - E:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - E:\Programme\softonic-de3\prxtbsof0.dll File not found
O2 - BHO: (Softonic Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll File not found
O2 - BHO: (SearchElf 1.2 Toolbar) - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} - E:\Programme\SearchElf_1.2\tbSea0.dll File not found
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - E:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - E:\Programme\softonic-de3\prxtbsof0.dll File not found
O3 - HKLM\..\Toolbar: (Softonic Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (SearchElf 1.2 Toolbar) - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} - E:\Programme\SearchElf_1.2\tbSea0.dll File not found
O3 - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - E:\Programme\softonic-de3\prxtbsof0.dll File not found
O3 - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\Toolbar\WebBrowser: (Softonic Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll File not found
O3 - HKU\S-1-5-21-1547161642-920026266-839522115-1003\..\Toolbar\WebBrowser: (SearchElf 1.2 Toolbar) - {F4E6547E-325B-403C-A3BB-AD29ED37A92F} - E:\Programme\SearchElf_1.2\tbSea0.dll File not found
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{3d9fb594-3667-11df-968c-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{3d9fb594-3667-11df-968c-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3d9fb594-3667-11df-968c-001eec99e93b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{3d9fb595-3667-11df-968c-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{3d9fb595-3667-11df-968c-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3d9fb595-3667-11df-968c-001eec99e93b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{74eea9e8-188e-11df-966e-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{74eea9e8-188e-11df-966e-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{74eea9e8-188e-11df-966e-001eec99e93b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{74eea9ec-188e-11df-966e-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{74eea9ec-188e-11df-966e-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{74eea9ec-188e-11df-966e-001eec99e93b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{d46d50aa-f614-11de-9668-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{d46d50aa-f614-11de-9668-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d46d50aa-f614-11de-9668-001eec99e93b}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{e9c774b2-c981-11df-9700-001eec99e93b}\Shell - "" = AutoRun
O33 - MountPoints2\{e9c774b2-c981-11df-9700-001eec99e93b}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e9c774b2-c981-11df-9700-001eec99e93b}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{fc548a0c-2698-11df-967d-001eec99e93b}\Shell\AutoRun\command - "" = F:\Menu.exe
:Files
E:\found.000
E:\WINDOWS\System32\winsh32?
E:\Dokumente und Einstellungen\Saskia\Anwendungsdaten\PriceGong
E:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Totalbird 21.06.2012 16:07
Hallo Arne,

nachdem ich den Button Fix betätigte reagiert der Laptop nicht mehr. :kloppen:

im OTL Fenster steht unten in der Statusleiste
--Killing Processes. DO NOT INTERRUPT.....

Oben in der blauen Leiste nach der Versionsanzeige (Keine Rückmeldung)

Cursor hat Sanduhr. Laptop reagiert auch nicht auf Alt-Ctrl Entf oder Alt F4
oder sonstige Aktionen. :wtf:

Gruss Thomas

cosinus 21.06.2012 19:08
Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

Totalbird 22.06.2012 11:30
Hallo Arne,

:wtf: abgesicherter Modus lässt sich nun mal wieder nicht starten.

(Kurzzeitiges Bluescreen aufblitzen Syndrom)

Hatte ich zu Anfang schonmal. *gnarrrf*

Gruß Thomas

cosinus 22.06.2012 12:37
Dann starte nochmal OTLPE und mach darüber den Fix

Totalbird 22.06.2012 13:35
Nööö Sorry,

da funzd auch nichts. OTLPE.Exe zieht 98% CPU :kloppen:

Mehr passiert leider nicht

Gruss T.

cosinus 22.06.2012 13:51
Äh du hast auch von der CD gebootet? :wtf: :confused:

Totalbird 22.06.2012 14:03
Jawoll habe ich. Von der CD gebootet.

Bin mit Reatogo X-PE angemeldet auf dem Laptop und mit OTLPE versucht den Fix auszuführen.


Gruss T.

cosinus 24.06.2012 14:54
Dann überpringen wir OTL erstmal...

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Totalbird 26.06.2012 11:56
Hallo Arne,

anbei das Log vom TDSS Lauf.

Code:
13:49:06.0046 3224        TDSS rootkit removing tool 2.7.42.0 Jun 25 2012 21:18:44
13:49:06.0671 3224        ============================================================
13:49:06.0671 3224        Current date / time: 2012/06/26 13:49:06.0671
13:49:06.0671 3224        SystemInfo:
13:49:06.0671 3224       
13:49:06.0671 3224        OS Version: 5.1.2600 ServicePack: 3.0
13:49:06.0671 3224        Product type: Workstation
13:49:06.0671 3224        ComputerName: SASKIAS
13:49:06.0671 3224        UserName: Saskia
13:49:06.0671 3224        Windows directory: E:\WINDOWS
13:49:06.0671 3224        System windows directory: E:\WINDOWS
13:49:06.0671 3224        Processor architecture: Intel x86
13:49:06.0671 3224        Number of processors: 2
13:49:06.0671 3224        Page size: 0x1000
13:49:06.0671 3224        Boot type: Normal boot
13:49:06.0671 3224        ============================================================
13:49:08.0562 3224        Drive \Device\Harddisk0\DR0 - Size: 0x3A38B2E000 (232.89 Gb), SectorSize: 0x200, Cylinders: 0x76C1, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
13:49:08.0562 3224        ============================================================
13:49:08.0562 3224        \Device\Harddisk0\DR0:
13:49:08.0562 3224        MBR partitions:
13:49:08.0562 3224        \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0xC34F28D
13:49:08.0578 3224        \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0xC34F30B, BlocksNum 0x10E713B5
13:49:08.0578 3224        ============================================================
13:49:08.0625 3224        C: <-> \Device\Harddisk0\DR0\Partition0
13:49:08.0671 3224        E: <-> \Device\Harddisk0\DR0\Partition1
13:49:08.0671 3224        ============================================================
13:49:08.0671 3224        Initialize success
13:49:08.0671 3224        ============================================================
13:50:17.0828 3424        ============================================================
13:50:17.0828 3424        Scan started
13:50:17.0828 3424        Mode: Manual; SigCheck; TDLFS;
13:50:17.0828 3424        ============================================================
13:50:18.0093 3424        Abiosdsk - ok
13:50:18.0109 3424        abp480n5 - ok
13:50:18.0156 3424        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) E:\WINDOWS\system32\DRIVERS\ACPI.sys
13:50:18.0625 3424        ACPI - ok
13:50:18.0671 3424        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) E:\WINDOWS\system32\DRIVERS\ACPIEC.sys
13:50:18.0781 3424        ACPIEC - ok
13:50:18.0781 3424        adpu160m - ok
13:50:18.0796 3424        aec            (8bed39e3c35d6a489438b8141717a557) E:\WINDOWS\system32\drivers\aec.sys
13:50:18.0906 3424        aec - ok
13:50:18.0937 3424        AegisP          (375eb0b97e3950adef3633c27a82438b) E:\WINDOWS\system32\DRIVERS\AegisP.sys
13:50:18.0968 3424        AegisP ( UnsignedFile.Multi.Generic ) - warning
13:50:18.0968 3424        AegisP - detected UnsignedFile.Multi.Generic (1)
13:50:19.0015 3424        AFD            (1e44bc1e83d8fd2305f8d452db109cf9) E:\WINDOWS\System32\drivers\afd.sys
13:50:19.0078 3424        AFD - ok
13:50:19.0171 3424        AgereSoftModem  (4e6294a06be883c9bd685a8dfd9fcd4e) E:\WINDOWS\system32\DRIVERS\AGRSM.sys
13:50:19.0312 3424        AgereSoftModem - ok
13:50:19.0328 3424        Aha154x - ok
13:50:19.0328 3424        aic78u2 - ok
13:50:19.0343 3424        aic78xx - ok
13:50:19.0390 3424        Alerter        (738d80cc01d7bc7584be917b7f544394) E:\WINDOWS\system32\alrsvc.dll
13:50:19.0546 3424        Alerter - ok
13:50:19.0593 3424        ALG            (190cd73d4984f94d823f9444980513e5) E:\WINDOWS\System32\alg.exe
13:50:19.0828 3424        ALG - ok
13:50:19.0828 3424        AliIde - ok
13:50:19.0843 3424        amsint - ok
13:50:19.0984 3424        Apple Mobile Device (7ef47644b74ebe721cc32211d3c35e76) E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
13:50:20.0015 3424        Apple Mobile Device - ok
13:50:20.0062 3424        AppMgmt        (d45960be52c3c610d361977057f98c54) E:\WINDOWS\System32\appmgmts.dll
13:50:20.0281 3424        AppMgmt - ok
13:50:20.0375 3424        Arp1394        (b5b8a80875c1dededa8b02765642c32f) E:\WINDOWS\system32\DRIVERS\arp1394.sys
13:50:20.0468 3424        Arp1394 - ok
13:50:20.0484 3424        asc - ok
13:50:20.0484 3424        asc3350p - ok
13:50:20.0500 3424        asc3550 - ok
13:50:20.0609 3424        aspnet_state    (0e5e4957549056e2bf2c49f4f6b601ad) E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
13:50:20.0640 3424        aspnet_state - ok
13:50:20.0656 3424        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) E:\WINDOWS\system32\DRIVERS\asyncmac.sys
13:50:20.0750 3424        AsyncMac - ok
13:50:20.0781 3424        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) E:\WINDOWS\system32\DRIVERS\atapi.sys
13:50:20.0953 3424        atapi - ok
13:50:20.0953 3424        Atdisk - ok
13:50:21.0000 3424        Atmarpc        (9916c1225104ba14794209cfa8012159) E:\WINDOWS\system32\DRIVERS\atmarpc.sys
13:50:21.0093 3424        Atmarpc - ok
13:50:21.0140 3424        ATSWPDRV        (293e8cc3c246a89f4cca75b024ad757f) E:\WINDOWS\system32\DRIVERS\ATSwpDrv.sys
13:50:21.0187 3424        ATSWPDRV - ok
13:50:21.0218 3424        AudioSrv        (58ed0d5452df7be732193e7999c6b9a4) E:\WINDOWS\System32\audiosrv.dll
13:50:21.0328 3424        AudioSrv - ok
13:50:21.0359 3424        audstub        (d9f724aa26c010a217c97606b160ed68) E:\WINDOWS\system32\DRIVERS\audstub.sys
13:50:21.0453 3424        audstub - ok
13:50:21.0500 3424        b57w2k          (f96038aa1ec4013a93d2420fc689d1e9) E:\WINDOWS\system32\DRIVERS\b57xp32.sys
13:50:21.0531 3424        b57w2k - ok
13:50:21.0593 3424        Beep            (da1f27d85e0d1525f6621372e7b685e9) E:\WINDOWS\system32\drivers\Beep.sys
13:50:21.0703 3424        Beep - ok
13:50:21.0765 3424        BITS            (d6f603772a789bb3228f310d650b8bd1) E:\WINDOWS\system32\qmgr.dll
13:50:21.0937 3424        BITS - ok
13:50:22.0093 3424        Bonjour Service (db5bea73edaf19ac68b2c0fad0f92b1a) E:\Programme\Bonjour\mDNSResponder.exe
13:50:22.0125 3424        Bonjour Service - ok
13:50:22.0171 3424        Browser        (b42057f06bbb98b31876c0b3f2b54e33) E:\WINDOWS\System32\browser.dll
13:50:22.0328 3424        Browser - ok
13:50:22.0453 3424        CA_LIC_CLNT    (e6108b2580a74c041a72418ec31513d7) E:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
13:50:22.0468 3424        CA_LIC_CLNT ( UnsignedFile.Multi.Generic ) - warning
13:50:22.0468 3424        CA_LIC_CLNT - detected UnsignedFile.Multi.Generic (1)
13:50:22.0484 3424        CA_LIC_SRVR    (41695350a5475b4e0fd689142ed5dbf6) E:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
13:50:22.0500 3424        CA_LIC_SRVR ( UnsignedFile.Multi.Generic ) - warning
13:50:22.0500 3424        CA_LIC_SRVR - detected UnsignedFile.Multi.Generic (1)
13:50:22.0531 3424        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) E:\WINDOWS\system32\drivers\cbidf2k.sys
13:50:22.0718 3424        cbidf2k - ok
13:50:22.0718 3424        cd20xrnt - ok
13:50:22.0734 3424        Cdaudio        (c1b486a7658353d33a10cc15211a873b) E:\WINDOWS\system32\drivers\Cdaudio.sys
13:50:22.0937 3424        Cdaudio - ok
13:50:23.0000 3424        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) E:\WINDOWS\system32\drivers\Cdfs.sys
13:50:23.0187 3424        Cdfs - ok
13:50:23.0218 3424        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) E:\WINDOWS\system32\DRIVERS\cdrom.sys
13:50:23.0312 3424        Cdrom - ok
13:50:23.0312 3424        Changer - ok
13:50:23.0359 3424        CiSvc          (28e3040d1f1ca2008cd6b29dfebc9a5e) E:\WINDOWS\system32\cisvc.exe
13:50:23.0453 3424        CiSvc - ok
13:50:23.0468 3424        ClipSrv        (778a30ed3c134eb7e406afc407e9997d) E:\WINDOWS\system32\clipsrv.exe
13:50:23.0546 3424        ClipSrv - ok
13:50:23.0656 3424        clr_optimization_v2.0.50727_32 (d87acaed61e417bba546ced5e7e36d9c) E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
13:50:23.0718 3424        clr_optimization_v2.0.50727_32 - ok
13:50:23.0734 3424        CmBatt          (0f6c187d38d98f8df904589a5f94d411) E:\WINDOWS\system32\DRIVERS\CmBatt.sys
13:50:23.0843 3424        CmBatt - ok
13:50:23.0843 3424        CmdIde - ok
13:50:23.0859 3424        Compbatt        (6e4c9f21f0fae8940661144f41b13203) E:\WINDOWS\system32\DRIVERS\compbatt.sys
13:50:23.0968 3424        Compbatt - ok
13:50:23.0968 3424        COMSysApp - ok
13:50:23.0984 3424        Cpqarray - ok
13:50:24.0046 3424        CryptSvc        (611f824e5c703a5a899f84c5f1699e4d) E:\WINDOWS\System32\cryptsvc.dll
13:50:24.0187 3424        CryptSvc - ok
13:50:24.0234 3424        ctxusbm        (cb6ff7012bb5d59d7c12350db795ce1f) E:\WINDOWS\system32\DRIVERS\ctxusbm.sys
13:50:24.0250 3424        ctxusbm - ok
13:50:24.0250 3424        dac2w2k - ok
13:50:24.0265 3424        dac960nt - ok
13:50:24.0312 3424        DcomLaunch      (3127afbf2c1ed0ab14a1bbb7aaecb85b) E:\WINDOWS\system32\rpcss.dll
13:50:24.0406 3424        DcomLaunch - ok
13:50:24.0453 3424        Dhcp            (c29a1c9b75ba38fa37f8c44405dec360) E:\WINDOWS\System32\dhcpcsvc.dll
13:50:24.0609 3424        Dhcp - ok
13:50:24.0656 3424        Disk            (044452051f3e02e7963599fc8f4f3e25) E:\WINDOWS\system32\DRIVERS\disk.sys
13:50:24.0796 3424        Disk - ok
13:50:24.0796 3424        dmadmin - ok
13:50:24.0890 3424        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) E:\WINDOWS\system32\drivers\dmboot.sys
13:50:25.0078 3424        dmboot - ok
13:50:25.0109 3424        dmio            (53720ab12b48719d00e327da470a619a) E:\WINDOWS\system32\drivers\dmio.sys
13:50:25.0281 3424        dmio - ok
13:50:25.0312 3424        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) E:\WINDOWS\system32\drivers\dmload.sys
13:50:25.0468 3424        dmload - ok
13:50:25.0531 3424        dmserver        (25c83ffbba13b554eb6d59a9b2e2ee78) E:\WINDOWS\System32\dmserver.dll
13:50:25.0703 3424        dmserver - ok
13:50:25.0734 3424        DMusic          (8a208dfcf89792a484e76c40e5f50b45) E:\WINDOWS\system32\drivers\DMusic.sys
13:50:25.0875 3424        DMusic - ok
13:50:25.0953 3424        Dnscache        (407f3227ac618fd1ca54b335b083de07) E:\WINDOWS\System32\dnsrslvr.dll
13:50:26.0046 3424        Dnscache - ok
13:50:26.0078 3424        Dot3svc        (676e36c4ff5bcea1900f44182b9723e6) E:\WINDOWS\System32\dot3svc.dll
13:50:26.0171 3424        Dot3svc - ok
13:50:26.0187 3424        dpti2o - ok
13:50:26.0218 3424        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) E:\WINDOWS\system32\drivers\drmkaud.sys
13:50:26.0312 3424        drmkaud - ok
13:50:26.0343 3424        EapHost        (4e4f2fddab0a0736d7671134dcce91fb) E:\WINDOWS\System32\eapsvc.dll
13:50:26.0453 3424        EapHost - ok
13:50:26.0500 3424        ERSvc          (877c18558d70587aa7823a1a308ac96b) E:\WINDOWS\System32\ersvc.dll
13:50:26.0703 3424        ERSvc - ok
13:50:26.0765 3424        Eventlog        (a3edbe9053889fb24ab22492472b39dc) E:\WINDOWS\system32\services.exe
13:50:26.0796 3424        Eventlog - ok
13:50:26.0828 3424        EventSystem    (af4f6b5739d18ca7972ab53e091cbc74) E:\WINDOWS\system32\es.dll
13:50:26.0906 3424        EventSystem - ok
13:50:27.0015 3424        EvtEng          (4432179a475deeb0eb0f1bee11831a89) E:\Programme\Intel\Wireless\Bin\EvtEng.exe
13:50:27.0062 3424        EvtEng ( UnsignedFile.Multi.Generic ) - warning
13:50:27.0062 3424        EvtEng - detected UnsignedFile.Multi.Generic (1)
13:50:27.0093 3424        Fastfat        (38d332a6d56af32635675f132548343e) E:\WINDOWS\system32\drivers\Fastfat.sys
13:50:27.0203 3424        Fastfat - ok
13:50:27.0250 3424        FastUserSwitchingCompatibility (2db7d303c36ddd055215052f118e8e75) E:\WINDOWS\System32\shsvcs.dll
13:50:27.0312 3424        FastUserSwitchingCompatibility - ok
13:50:27.0343 3424        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) E:\WINDOWS\system32\drivers\Fdc.sys
13:50:27.0531 3424        Fdc - ok
13:50:27.0593 3424        FingerprintServer (0ca05359810e0ce08f1dd19b07f7b29c) E:\WINDOWS\system32\FpLogonServ.exe
13:50:27.0609 3424        FingerprintServer ( UnsignedFile.Multi.Generic ) - warning
13:50:27.0609 3424        FingerprintServer - detected UnsignedFile.Multi.Generic (1)
13:50:27.0609 3424        Fips            (b0678a548587c5f1967b0d70bacad6c1) E:\WINDOWS\system32\drivers\Fips.sys
13:50:27.0703 3424        Fips - ok
13:50:27.0734 3424        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) E:\WINDOWS\system32\drivers\Flpydisk.sys
13:50:27.0812 3424        Flpydisk - ok
13:50:27.0843 3424        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) E:\WINDOWS\system32\drivers\fltmgr.sys
13:50:27.0953 3424        FltMgr - ok
13:50:28.0046 3424        FontCache3.0.0.0 (8ba7c024070f2b7fdd98ed8a4ba41789) e:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
13:50:28.0062 3424        FontCache3.0.0.0 - ok
13:50:28.0093 3424        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) E:\WINDOWS\system32\drivers\Fs_Rec.sys
13:50:28.0203 3424        Fs_Rec - ok
13:50:28.0234 3424        Ftdisk          (8f1955ce42e1484714b542f341647778) E:\WINDOWS\system32\DRIVERS\ftdisk.sys
13:50:28.0359 3424        Ftdisk - ok
13:50:28.0390 3424        GEARAspiWDM    (8182ff89c65e4d38b2de4bb0fb18564e) E:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
13:50:28.0406 3424        GEARAspiWDM - ok
13:50:28.0421 3424        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) E:\WINDOWS\system32\DRIVERS\msgpc.sys
13:50:28.0562 3424        Gpc - ok
13:50:28.0703 3424        gupdate        (8f0de4fef8201e306f9938b0905ac96a) E:\Programme\Google\Update\GoogleUpdate.exe
13:50:28.0718 3424        gupdate - ok
13:50:28.0718 3424        gupdatem        (8f0de4fef8201e306f9938b0905ac96a) E:\Programme\Google\Update\GoogleUpdate.exe
13:50:28.0734 3424        gupdatem - ok
13:50:28.0781 3424        gusvc          (cc839e8d766cc31a7710c9f38cf3e375) E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
13:50:28.0812 3424        gusvc - ok
13:50:28.0843 3424        HDAudBus        (573c7d0a32852b48f3058cfd8026f511) E:\WINDOWS\system32\DRIVERS\HDAudBus.sys
13:50:28.0984 3424        HDAudBus - ok
13:50:29.0078 3424        helpsvc        (cb66bf85bf599befd6c6a57c2e20357f) E:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
13:50:29.0250 3424        helpsvc - ok
13:50:29.0265 3424        heypjtw - ok
13:50:29.0265 3424        HidServ - ok
13:50:29.0312 3424        hkmsvc          (ed29f14101523a6e0e808107405d452c) E:\WINDOWS\System32\kmsvc.dll
13:50:29.0453 3424        hkmsvc - ok
13:50:29.0468 3424        hpn - ok
13:50:29.0546 3424        HTTP            (f80a415ef82cd06ffaf0d971528ead38) E:\WINDOWS\system32\Drivers\HTTP.sys
13:50:29.0609 3424        HTTP - ok
13:50:29.0640 3424        HTTPFilter      (9e4adb854cebcfb81a4b36718feecd16) E:\WINDOWS\System32\w3ssl.dll
13:50:29.0796 3424        HTTPFilter - ok
13:50:29.0859 3424        hwdatacard      (8adf5ef39e896a65beded878494ee2b6) E:\WINDOWS\system32\DRIVERS\ewusbmdm.sys
13:50:29.0937 3424        hwdatacard - ok
13:50:29.0953 3424        i2omgmt - ok
13:50:29.0953 3424        i2omp - ok
13:50:30.0000 3424        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) E:\WINDOWS\system32\DRIVERS\i8042prt.sys
13:50:30.0187 3424        i8042prt - ok
13:50:30.0328 3424        idsvc          (c01ac32dc5c03076cfb852cb5da5229c) e:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
13:50:30.0406 3424        idsvc - ok
13:50:30.0546 3424        iGateway        (404544c1b48aac95a839f5d48cf82ba6) E:\Programme\CA\SharedComponents\iTechnology\igateway.exe
13:50:30.0578 3424        iGateway ( UnsignedFile.Multi.Generic ) - warning
13:50:30.0578 3424        iGateway - detected UnsignedFile.Multi.Generic (1)
13:50:30.0609 3424        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) E:\WINDOWS\system32\DRIVERS\imapi.sys
13:50:30.0718 3424        Imapi - ok
13:50:30.0750 3424        ImapiService    (d4b413aa210c21e46aedd2ba5b68d38e) E:\WINDOWS\system32\imapi.exe
13:50:30.0906 3424        ImapiService - ok
13:50:30.0921 3424        ini910u - ok
13:50:31.0046 3424        InoRPC          (4f7d1520bbe672fd9364a9f6f1def47c) C:\Programme\CA\eTrust Antivirus\InoRpc.exe
13:50:31.0078 3424        InoRPC ( UnsignedFile.Multi.Generic ) - warning
13:50:31.0078 3424        InoRPC - detected UnsignedFile.Multi.Generic (1)
13:50:31.0109 3424        InoRT          (a08267418c7fd4cc79cbe392373209db) C:\Programme\CA\eTrust Antivirus\InoRT.exe
13:50:31.0140 3424        InoRT ( UnsignedFile.Multi.Generic ) - warning
13:50:31.0140 3424        InoRT - detected UnsignedFile.Multi.Generic (1)
13:50:31.0187 3424        InoTask        (289d11b07c61f1e8f65312081b26ac6b) C:\Programme\CA\eTrust Antivirus\InoTask.exe
13:50:31.0203 3424        InoTask - ok
13:50:31.0234 3424        INO_FLPY        (4eb3cd8cd2210807ada276542eb99b06) E:\WINDOWS\system32\Drivers\ino_flpy.sys
13:50:31.0234 3424        INO_FLPY - ok
13:50:31.0250 3424        INO_FLTR        (ebfb9e788557aded04aef87247ae56dd) E:\WINDOWS\system32\Drivers\ino_fltr.sys
13:50:31.0265 3424        INO_FLTR - ok
13:50:31.0531 3424        IntcAzAudAddService (b29781b9a90cd55fc5d859c0b1c243bc) E:\WINDOWS\system32\drivers\RtkHDAud.sys
13:50:31.0906 3424        IntcAzAudAddService - ok
13:50:32.0000 3424        IntelIde - ok
13:50:32.0046 3424        intelppm        (4c7d2750158ed6e7ad642d97bffae351) E:\WINDOWS\system32\DRIVERS\intelppm.sys
13:50:32.0250 3424        intelppm - ok
13:50:32.0265 3424        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) E:\WINDOWS\system32\drivers\ip6fw.sys
13:50:32.0359 3424        Ip6Fw - ok
13:50:32.0375 3424        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) E:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
13:50:32.0484 3424        IpFilterDriver - ok
13:50:32.0515 3424        IpInIp          (b87ab476dcf76e72010632b5550955f5) E:\WINDOWS\system32\DRIVERS\ipinip.sys
13:50:32.0609 3424        IpInIp - ok
13:50:32.0640 3424        IpNat          (cc748ea12c6effde940ee98098bf96bb) E:\WINDOWS\system32\DRIVERS\ipnat.sys
13:50:32.0750 3424        IpNat - ok
13:50:32.0859 3424        iPod Service    (57edb35ea2feca88f8b17c0c095c9a56) E:\Programme\iPod\bin\iPodService.exe
13:50:32.0921 3424        iPod Service - ok
13:50:32.0968 3424        IPSec          (23c74d75e36e7158768dd63d92789a91) E:\WINDOWS\system32\DRIVERS\ipsec.sys
13:50:33.0078 3424        IPSec - ok
13:50:33.0109 3424        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) E:\WINDOWS\system32\DRIVERS\irenum.sys
13:50:33.0187 3424        IRENUM - ok
13:50:33.0218 3424        isapnp          (6dfb88f64135c525433e87648bda30de) E:\WINDOWS\system32\DRIVERS\isapnp.sys
13:50:33.0296 3424        isapnp - ok
13:50:33.0421 3424        ITMRTSVC        (b81e9de3f8b1d95f961660b4e548d081) E:\Programme\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe
13:50:33.0453 3424        ITMRTSVC - ok
13:50:33.0468 3424        Kbdclass        (1704d8c4c8807b889e43c649b478a452) E:\WINDOWS\system32\DRIVERS\kbdclass.sys
13:50:33.0578 3424        Kbdclass - ok
13:50:33.0609 3424        kmixer          (692bcf44383d056aed41b045a323d378) E:\WINDOWS\system32\drivers\kmixer.sys
13:50:33.0687 3424        kmixer - ok
13:50:33.0734 3424        KSecDD          (b467646c54cc746128904e1654c750c1) E:\WINDOWS\system32\drivers\KSecDD.sys
13:50:33.0828 3424        KSecDD - ok
13:50:33.0859 3424        lanmanserver    (2bbdcb79900990f0716dfcb714e72de7) E:\WINDOWS\System32\srvsvc.dll
13:50:33.0953 3424        lanmanserver - ok
13:50:34.0000 3424        lanmanworkstation (1869b14b06b44b44af70548e1ea3303f) E:\WINDOWS\System32\wkssvc.dll
13:50:34.0062 3424        lanmanworkstation - ok
13:50:34.0078 3424        lbrtfdc - ok
13:50:34.0125 3424        LmHosts        (636714b7d43c8d0c80449123fd266920) E:\WINDOWS\System32\lmhsvc.dll
13:50:34.0312 3424        LmHosts - ok
13:50:34.0406 3424        LogWatch        (850a7a21661b97583914a430e9c2daea) E:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
13:50:34.0421 3424        LogWatch ( UnsignedFile.Multi.Generic ) - warning
13:50:34.0421 3424        LogWatch - detected UnsignedFile.Multi.Generic (1)
13:50:34.0468 3424        MBAMProtector  (fb097bbc1a18f044bd17bd2fccf97865) E:\WINDOWS\system32\drivers\mbam.sys
13:50:34.0468 3424        MBAMProtector - ok
13:50:34.0593 3424        MBAMService    (ba400ed640bca1eae5c727ae17c10207) E:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
13:50:34.0640 3424        MBAMService - ok
13:50:34.0671 3424        Messenger      (b7550a7107281d170ce85524b1488c98) E:\WINDOWS\System32\msgsvc.dll
13:50:34.0781 3424        Messenger - ok
13:50:34.0812 3424        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) E:\WINDOWS\system32\drivers\mnmdd.sys
13:50:34.0968 3424        mnmdd - ok
13:50:35.0031 3424        mnmsrvc        (c2f1d365fd96791b037ee504868065d3) E:\WINDOWS\system32\mnmsrvc.exe
13:50:35.0187 3424        mnmsrvc - ok
13:50:35.0187 3424        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) E:\WINDOWS\system32\drivers\Modem.sys
13:50:35.0390 3424        Modem - ok
13:50:35.0421 3424        Mouclass        (b24ce8005deab254c0251e15cb71d802) E:\WINDOWS\system32\DRIVERS\mouclass.sys
13:50:35.0578 3424        Mouclass - ok
13:50:35.0625 3424        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) E:\WINDOWS\system32\drivers\MountMgr.sys
13:50:35.0781 3424        MountMgr - ok
13:50:35.0781 3424        mraid35x - ok
13:50:35.0796 3424        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) E:\WINDOWS\system32\DRIVERS\mrxdav.sys
13:50:35.0984 3424        MRxDAV - ok
13:50:36.0078 3424        MRxSmb          (7d304a5eb4344ebeeab53a2fe3ffb9f0) E:\WINDOWS\system32\DRIVERS\mrxsmb.sys
13:50:36.0187 3424        MRxSmb - ok
13:50:36.0234 3424        MSDTC          (35a031af38c55f92d28aa03ee9f12cc9) E:\WINDOWS\system32\msdtc.exe
13:50:36.0390 3424        MSDTC - ok
13:50:36.0468 3424        Msfs            (c941ea2454ba8350021d774daf0f1027) E:\WINDOWS\system32\drivers\Msfs.sys
13:50:36.0656 3424        Msfs - ok
13:50:36.0671 3424        MSIServer - ok
13:50:36.0718 3424        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) E:\WINDOWS\system32\drivers\MSKSSRV.sys
13:50:36.0812 3424        MSKSSRV - ok
13:50:36.0828 3424        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) E:\WINDOWS\system32\drivers\MSPCLOCK.sys
13:50:36.0921 3424        MSPCLOCK - ok
13:50:36.0937 3424        MSPQM          (bad59648ba099da4a17680b39730cb3d) E:\WINDOWS\system32\drivers\MSPQM.sys
13:50:37.0031 3424        MSPQM - ok
13:50:37.0062 3424        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) E:\WINDOWS\system32\DRIVERS\mssmbios.sys
13:50:37.0140 3424        mssmbios - ok
13:50:37.0187 3424        Mup            (de6a75f5c270e756c5508d94b6cf68f5) E:\WINDOWS\system32\drivers\Mup.sys
13:50:37.0234 3424        Mup - ok
13:50:37.0281 3424        napagent        (46bb15ae2ac7d025d6d2567b876817bd) E:\WINDOWS\System32\qagentrt.dll
13:50:37.0390 3424        napagent - ok
13:50:37.0421 3424        NDIS            (1df7f42665c94b825322fae71721130d) E:\WINDOWS\system32\drivers\NDIS.sys
13:50:37.0531 3424        NDIS - ok
13:50:37.0578 3424        NdisTapi        (0109c4f3850dfbab279542515386ae22) E:\WINDOWS\system32\DRIVERS\ndistapi.sys
13:50:37.0625 3424        NdisTapi - ok
13:50:37.0656 3424        Ndisuio        (f927a4434c5028758a842943ef1a3849) E:\WINDOWS\system32\DRIVERS\ndisuio.sys
13:50:37.0765 3424        Ndisuio - ok
13:50:37.0828 3424        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) E:\WINDOWS\system32\DRIVERS\ndiswan.sys
13:50:37.0984 3424        NdisWan - ok
13:50:38.0046 3424        NDProxy        (9282bd12dfb069d3889eb3fcc1000a9b) E:\WINDOWS\system32\drivers\NDProxy.sys
13:50:38.0109 3424        NDProxy - ok
13:50:38.0125 3424        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) E:\WINDOWS\system32\DRIVERS\netbios.sys
13:50:38.0328 3424        NetBIOS - ok
13:50:38.0390 3424        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) E:\WINDOWS\system32\DRIVERS\netbt.sys
13:50:38.0500 3424        NetBT - ok
13:50:38.0531 3424        NetDDE          (8ace4251bffd09ce75679fe940e996cc) E:\WINDOWS\system32\netdde.exe
13:50:38.0640 3424        NetDDE - ok
13:50:38.0656 3424        NetDDEdsdm      (8ace4251bffd09ce75679fe940e996cc) E:\WINDOWS\system32\netdde.exe
13:50:38.0734 3424        NetDDEdsdm - ok
13:50:38.0796 3424        Netlogon        (afb8261b56cba0d86aeb6df682af9785) E:\WINDOWS\system32\lsass.exe
13:50:38.0890 3424        Netlogon - ok
13:50:38.0921 3424        Netman          (e6d88f1f6745bf00b57e7855a2ab696c) E:\WINDOWS\System32\netman.dll
13:50:39.0062 3424        Netman - ok
13:50:39.0156 3424        NetTcpPortSharing (d34612c5d02d026535b3095d620626ae) e:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
13:50:39.0171 3424        NetTcpPortSharing - ok
13:50:39.0281 3424        NETw3x32        (f43da6b7e26fff9ac4d3210f2f9b5d8c) E:\WINDOWS\system32\DRIVERS\NETw3x32.sys
13:50:39.0671 3424        NETw3x32 - ok
13:50:39.0765 3424        NIC1394        (e9e47cfb2d461fa0fc75b7a74c6383ea) E:\WINDOWS\system32\DRIVERS\nic1394.sys
13:50:39.0968 3424        NIC1394 - ok
13:50:40.0046 3424        Nla            (f1b67b6b0751ae0e6e964b02821206a3) E:\WINDOWS\System32\mswsock.dll
13:50:40.0093 3424        Nla - ok
13:50:40.0109 3424        Npfs            (3182d64ae053d6fb034f44b6def8034a) E:\WINDOWS\system32\drivers\Npfs.sys
13:50:40.0203 3424        Npfs - ok
13:50:40.0265 3424        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) E:\WINDOWS\system32\drivers\Ntfs.sys
13:50:40.0390 3424        Ntfs - ok
13:50:40.0421 3424        NtLmSsp        (afb8261b56cba0d86aeb6df682af9785) E:\WINDOWS\system32\lsass.exe
13:50:40.0500 3424        NtLmSsp - ok
13:50:40.0546 3424        NtmsSvc        (56af4064996fa5bac9c449b1514b4770) E:\WINDOWS\system32\ntmssvc.dll
13:50:40.0687 3424        NtmsSvc - ok
13:50:40.0750 3424        Null            (73c1e1f395918bc2c6dd67af7591a3ad) E:\WINDOWS\system32\drivers\Null.sys
13:50:40.0859 3424        Null - ok
13:50:41.0109 3424        nv              (f47a14b78a1ce58d5ff992f4e4de1374) E:\WINDOWS\system32\DRIVERS\nv4_mini.sys
13:50:41.0437 3424        nv - ok
13:50:41.0593 3424        NVSvc          (15a88de3c21bd1396281f353aeddceb1) E:\WINDOWS\system32\nvsvc32.exe
13:50:41.0625 3424        NVSvc - ok
13:50:41.0656 3424        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) E:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
13:50:41.0843 3424        NwlnkFlt - ok
13:50:41.0890 3424        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) E:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
13:50:42.0000 3424        NwlnkFwd - ok
13:50:42.0031 3424        ohci1394        (ca33832df41afb202ee7aeb05145922f) E:\WINDOWS\system32\DRIVERS\ohci1394.sys
13:50:42.0125 3424        ohci1394 - ok
13:50:42.0156 3424        Parport        (f84785660305b9b903fb3bca8ba29837) E:\WINDOWS\system32\drivers\Parport.sys
13:50:42.0265 3424        Parport - ok
13:50:42.0265 3424        PartMgr        (beb3ba25197665d82ec7065b724171c6) E:\WINDOWS\system32\drivers\PartMgr.sys
13:50:42.0343 3424        PartMgr - ok
13:50:42.0390 3424        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) E:\WINDOWS\system32\drivers\ParVdm.sys
13:50:42.0484 3424        ParVdm - ok
13:50:42.0484 3424        PCI            (387e8dedc343aa2d1efbc30580273acd) E:\WINDOWS\system32\DRIVERS\pci.sys
13:50:42.0593 3424        PCI - ok
13:50:42.0609 3424        PCIDump - ok
13:50:42.0609 3424        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) E:\WINDOWS\system32\DRIVERS\pciide.sys
13:50:42.0718 3424        PCIIde - ok
13:50:42.0765 3424        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) E:\WINDOWS\system32\drivers\Pcmcia.sys
13:50:42.0859 3424        Pcmcia - ok
13:50:42.0875 3424        PDCOMP - ok
13:50:42.0875 3424        PDFRAME - ok
13:50:42.0875 3424        PDRELI - ok
13:50:42.0890 3424        PDRFRAME - ok
13:50:42.0890 3424        perc2 - ok
13:50:42.0906 3424        perc2hib - ok
13:50:42.0968 3424        PlugPlay        (a3edbe9053889fb24ab22492472b39dc) E:\WINDOWS\system32\services.exe
13:50:42.0984 3424        PlugPlay - ok
13:50:43.0015 3424        PolicyAgent    (afb8261b56cba0d86aeb6df682af9785) E:\WINDOWS\system32\lsass.exe
13:50:43.0093 3424        PolicyAgent - ok
13:50:43.0140 3424        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) E:\WINDOWS\system32\DRIVERS\raspptp.sys
13:50:43.0250 3424        PptpMiniport - ok
13:50:43.0250 3424        ProtectedStorage (afb8261b56cba0d86aeb6df682af9785) E:\WINDOWS\system32\lsass.exe
13:50:43.0359 3424        ProtectedStorage - ok
13:50:43.0359 3424        PSched          (09298ec810b07e5d582cb3a3f9255424) E:\WINDOWS\system32\DRIVERS\psched.sys
13:50:43.0484 3424        PSched - ok
13:50:43.0515 3424        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) E:\WINDOWS\system32\DRIVERS\ptilink.sys
13:50:43.0640 3424        Ptilink - ok
13:50:43.0640 3424        ql1080 - ok
13:50:43.0656 3424        Ql10wnt - ok
13:50:43.0656 3424        ql12160 - ok
13:50:43.0671 3424        ql1240 - ok
13:50:43.0671 3424        ql1280 - ok
13:50:43.0718 3424        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) E:\WINDOWS\system32\DRIVERS\rasacd.sys
13:50:43.0843 3424        RasAcd - ok
13:50:43.0890 3424        RasAuto        (f5ba6caccdb66c8f048e867563203246) E:\WINDOWS\System32\rasauto.dll
13:50:44.0000 3424        RasAuto - ok
13:50:44.0031 3424        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) E:\WINDOWS\system32\DRIVERS\rasl2tp.sys
13:50:44.0156 3424        Rasl2tp - ok
13:50:44.0265 3424        RasMan          (f9a7b66ea345726edb5862a46b1eccd5) E:\WINDOWS\System32\rasmans.dll
13:50:44.0390 3424        RasMan - ok
13:50:44.0390 3424        RasPppoe        (5bc962f2654137c9909c3d4603587dee) E:\WINDOWS\system32\DRIVERS\raspppoe.sys
13:50:44.0500 3424        RasPppoe - ok
13:50:44.0531 3424        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) E:\WINDOWS\system32\DRIVERS\raspti.sys
13:50:44.0625 3424        Raspti - ok
13:50:44.0640 3424        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) E:\WINDOWS\system32\DRIVERS\rdbss.sys
13:50:44.0765 3424        Rdbss - ok
13:50:44.0781 3424        RDPCDD          (4912d5b403614ce99c28420f75353332) E:\WINDOWS\system32\DRIVERS\RDPCDD.sys
13:50:44.0875 3424        RDPCDD - ok
13:50:44.0921 3424        rdpdr          (15cabd0f7c00c47c70124907916af3f1) E:\WINDOWS\system32\DRIVERS\rdpdr.sys
13:50:45.0031 3424        rdpdr - ok
13:50:45.0062 3424        RDPWD          (6589db6e5969f8eee594cf71171c5028) E:\WINDOWS\system32\drivers\RDPWD.sys
13:50:45.0125 3424        RDPWD - ok
13:50:45.0171 3424        RDSessMgr      (263af18af0f3db99f574c95f284ccec9) E:\WINDOWS\system32\sessmgr.exe
13:50:45.0265 3424        RDSessMgr - ok
13:50:45.0296 3424        redbook        (ed761d453856f795a7fe056e42c36365) E:\WINDOWS\system32\DRIVERS\redbook.sys
13:50:45.0390 3424        redbook - ok
13:50:45.0515 3424        RegSrvc        (38e771154092ed59bf1149e24e2a7dc3) E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
13:50:45.0562 3424        RegSrvc ( UnsignedFile.Multi.Generic ) - warning
13:50:45.0562 3424        RegSrvc - detected UnsignedFile.Multi.Generic (1)
13:50:45.0593 3424        RemoteAccess    (0e97ec96d6942ceec2d188cc2eb69a01) E:\WINDOWS\System32\mprdim.dll
13:50:45.0765 3424        RemoteAccess - ok
13:50:45.0828 3424        RemoteRegistry  (e4cd1f3d84e1c2ca0b8cf7501e201593) E:\WINDOWS\system32\regsvc.dll
13:50:45.0937 3424        RemoteRegistry - ok
13:50:45.0968 3424        rimmptsk        (355aac141b214bef1dbc1483afd9bd50) E:\WINDOWS\system32\DRIVERS\rimmptsk.sys
13:50:45.0984 3424        rimmptsk - ok
13:50:46.0000 3424        rimsptsk        (a4216c71dd4f60b26418ccfd99cd0815) E:\WINDOWS\system32\DRIVERS\rimsptsk.sys
13:50:46.0015 3424        rimsptsk - ok
13:50:46.0031 3424        rismxdp        (c663af77e2f4eabf8eb08b388d2f1f36) E:\WINDOWS\system32\DRIVERS\rixdptsk.sys
13:50:46.0046 3424        rismxdp - ok
13:50:46.0078 3424        RpcLocator      (2a02e21867497df20b8fc95631395169) E:\WINDOWS\system32\locator.exe
13:50:46.0187 3424        RpcLocator - ok
13:50:46.0234 3424        RpcSs          (3127afbf2c1ed0ab14a1bbb7aaecb85b) E:\WINDOWS\system32\rpcss.dll
13:50:46.0250 3424        RpcSs - ok
13:50:46.0296 3424        RSVP            (4bdd71b4b521521499dfd14735c4f398) E:\WINDOWS\system32\rsvp.exe
13:50:46.0453 3424        RSVP - ok
13:50:46.0562 3424        S24EventMonitor (a6b39f6b755f118927ce7d17fb8fc1e2) E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
13:50:46.0625 3424        S24EventMonitor ( UnsignedFile.Multi.Generic ) - warning
13:50:46.0625 3424        S24EventMonitor - detected UnsignedFile.Multi.Generic (1)
13:50:46.0656 3424        s24trans        (decee0d67d032b57c1f5ef649a67a967) E:\WINDOWS\system32\DRIVERS\s24trans.sys
13:50:46.0656 3424        s24trans ( UnsignedFile.Multi.Generic ) - warning
13:50:46.0656 3424        s24trans - detected UnsignedFile.Multi.Generic (1)
13:50:46.0703 3424        SamSs          (afb8261b56cba0d86aeb6df682af9785) E:\WINDOWS\system32\lsass.exe
13:50:46.0812 3424        SamSs - ok
13:50:46.0890 3424        SCardSvr        (dcec079fad95d36c8dd5cb6d779dfe32) E:\WINDOWS\System32\SCardSvr.exe
13:50:47.0046 3424        SCardSvr - ok
13:50:47.0125 3424        Schedule        (a050194a44d7fa8d7186ed2f4e8367ae) E:\WINDOWS\system32\schedsvc.dll
13:50:47.0281 3424        Schedule - ok
13:50:47.0312 3424        sdbus          (8d04819a3ce51b9eb47e5689b44d43c4) E:\WINDOWS\system32\DRIVERS\sdbus.sys
13:50:47.0484 3424        sdbus - ok
13:50:47.0609 3424        SeaPort        (271077b91d7ad1b616f8afdfe8e3f981) E:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
13:50:47.0656 3424        SeaPort - ok
13:50:47.0687 3424        Secdrv          (90a3935d05b494a5a39d37e71f09a677) E:\WINDOWS\system32\DRIVERS\secdrv.sys
13:50:47.0843 3424        Secdrv - ok
13:50:47.0890 3424        seclogon        (bee4cfd1d48c23b44cf4b974b0b79b2b) E:\WINDOWS\System32\seclogon.dll
13:50:48.0062 3424        seclogon - ok
13:50:48.0078 3424        SENS            (2aac9b6ed9eddffb721d6452e34d67e3) E:\WINDOWS\system32\sens.dll
13:50:48.0281 3424        SENS - ok
13:50:48.0296 3424        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) E:\WINDOWS\system32\drivers\Serial.sys
13:50:48.0406 3424        Serial - ok
13:50:48.0484 3424        sesvc          (4c99e251d89c95dcaaa26f9243747c99) E:\Programme\ShadowExplorer\sesvc.exe
13:50:48.0500 3424        sesvc ( UnsignedFile.Multi.Generic ) - warning
13:50:48.0500 3424        sesvc - detected UnsignedFile.Multi.Generic (1)
13:50:48.0515 3424        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) E:\WINDOWS\system32\DRIVERS\sfloppy.sys
13:50:48.0609 3424        Sfloppy - ok
13:50:48.0656 3424        SharedAccess    (cad058d5f8b889a87ca3eb3cf624dcef) E:\WINDOWS\System32\ipnathlp.dll
13:50:48.0781 3424        SharedAccess - ok
13:50:48.0812 3424        ShellHWDetection (2db7d303c36ddd055215052f118e8e75) E:\WINDOWS\System32\shsvcs.dll
13:50:48.0828 3424        ShellHWDetection - ok
13:50:48.0828 3424        Simbad - ok
13:50:48.0828 3424        Sparrow - ok
13:50:48.0843 3424        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) E:\WINDOWS\system32\drivers\splitter.sys
13:50:48.0953 3424        splitter - ok
13:50:48.0984 3424        Spooler        (60784f891563fb1b767f70117fc2428f) E:\WINDOWS\system32\spoolsv.exe
13:50:49.0031 3424        Spooler - ok
13:50:49.0078 3424        sr              (50fa898f8c032796d3b1b9951bb5a90f) E:\WINDOWS\system32\DRIVERS\sr.sys
13:50:49.0203 3424        sr - ok
13:50:49.0281 3424        srservice      (fe77a85495065f3ad59c5c65b6c54182) E:\WINDOWS\system32\srsvc.dll
13:50:49.0421 3424        srservice - ok
13:50:49.0500 3424        Srv            (47ddfc2f003f7f9f0592c6874962a2e7) E:\WINDOWS\system32\DRIVERS\srv.sys
13:50:49.0562 3424        Srv - ok
13:50:49.0625 3424        SSDPSRV        (4df5b05dfaec29e13e1ed6f6ee12c500) E:\WINDOWS\System32\ssdpsrv.dll
13:50:49.0796 3424        SSDPSRV - ok
13:50:49.0859 3424        stisvc          (bc2c5985611c5356b24aeb370953ded9) E:\WINDOWS\system32\wiaservc.dll
13:50:50.0078 3424        stisvc - ok
13:50:50.0109 3424        swenum          (3941d127aef12e93addf6fe6ee027e0f) E:\WINDOWS\system32\DRIVERS\swenum.sys
13:50:50.0296 3424        swenum - ok
13:50:50.0343 3424        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) E:\WINDOWS\system32\drivers\swmidi.sys
13:50:50.0421 3424        swmidi - ok
13:50:50.0437 3424        SwPrv - ok
13:50:50.0437 3424        symc810 - ok
13:50:50.0453 3424        symc8xx - ok
13:50:50.0453 3424        sym_hi - ok
13:50:50.0453 3424        sym_u3 - ok
13:50:50.0500 3424        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) E:\WINDOWS\system32\drivers\sysaudio.sys
13:50:50.0609 3424        sysaudio - ok
13:50:50.0640 3424        SysmonLog      (2903fffa2523926d6219428040dce6b9) E:\WINDOWS\system32\smlogsvc.exe
13:50:50.0734 3424        SysmonLog - ok
13:50:50.0781 3424        TapiSrv        (05903cac4b98908d55ea5774775b382e) E:\WINDOWS\System32\tapisrv.dll
13:50:50.0890 3424        TapiSrv - ok
13:50:50.0937 3424        Tcpip          (9aefa14bd6b182d61e3119fa5f436d3d) E:\WINDOWS\system32\DRIVERS\tcpip.sys
13:50:51.0000 3424        Tcpip - ok
13:50:51.0031 3424        TDPIPE          (6471a66807f5e104e4885f5b67349397) E:\WINDOWS\system32\drivers\TDPIPE.sys
13:50:51.0156 3424        TDPIPE - ok
13:50:51.0218 3424        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) E:\WINDOWS\system32\drivers\TDTCP.sys
13:50:51.0359 3424        TDTCP - ok
13:50:51.0437 3424        TermDD          (88155247177638048422893737429d9e) E:\WINDOWS\system32\DRIVERS\termdd.sys
13:50:51.0578 3424        TermDD - ok
13:50:51.0656 3424        TermService    (b7de02c863d8f5a005a7bf375375a6a4) E:\WINDOWS\System32\termsrv.dll
13:50:51.0843 3424        TermService - ok
13:50:51.0890 3424        Themes          (2db7d303c36ddd055215052f118e8e75) E:\WINDOWS\System32\shsvcs.dll
13:50:51.0906 3424        Themes - ok
13:50:51.0953 3424        TlntSvr        (03681a1ce77f51586903869a5ab1deab) E:\WINDOWS\system32\tlntsvr.exe
13:50:52.0109 3424        TlntSvr - ok
13:50:52.0109 3424        TosIde - ok
13:50:52.0203 3424        TrkWks          (626504572b175867f30f3215c04b3e2f) E:\WINDOWS\system32\trkwks.dll
13:50:52.0375 3424        TrkWks - ok
13:50:52.0421 3424        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) E:\WINDOWS\system32\drivers\Udfs.sys
13:50:52.0578 3424        Udfs - ok
13:50:52.0593 3424        ultra - ok
13:50:52.0671 3424        Update          (402ddc88356b1bac0ee3dd1580c76a31) E:\WINDOWS\system32\DRIVERS\update.sys
13:50:52.0859 3424        Update - ok
13:50:52.0921 3424        upnphost        (1dfd8975d8c89214b98d9387c1125b49) E:\WINDOWS\System32\upnphost.dll
13:50:53.0109 3424        upnphost - ok
13:50:53.0156 3424        UPS            (9b11e6118958e63e1fef129466e2bda7) E:\WINDOWS\System32\ups.exe
13:50:53.0343 3424        UPS - ok
13:50:53.0406 3424        USBAAPL        (eafe1e00739afe6c51487a050e772e17) E:\WINDOWS\system32\Drivers\usbaapl.sys
13:50:53.0453 3424        USBAAPL - ok
13:50:53.0484 3424        usbccgp        (173f317ce0db8e21322e71b7e60a27e8) E:\WINDOWS\system32\DRIVERS\usbccgp.sys
13:50:53.0562 3424        usbccgp - ok
13:50:53.0593 3424        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) E:\WINDOWS\system32\DRIVERS\usbehci.sys
13:50:53.0703 3424        usbehci - ok
13:50:53.0734 3424        usbhub          (1ab3cdde553b6e064d2e754efe20285c) E:\WINDOWS\system32\DRIVERS\usbhub.sys
13:50:53.0828 3424        usbhub - ok
13:50:53.0859 3424        usbscan        (a0b8cf9deb1184fbdd20784a58fa75d4) E:\WINDOWS\system32\DRIVERS\usbscan.sys
13:50:53.0984 3424        usbscan - ok
13:50:54.0000 3424        USBSTOR        (a32426d9b14a089eaa1d922e0c5801a9) E:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
13:50:54.0125 3424        USBSTOR - ok
13:50:54.0156 3424        usbuhci        (26496f9dee2d787fc3e61ad54821ffe6) E:\WINDOWS\system32\DRIVERS\usbuhci.sys
13:50:54.0250 3424        usbuhci - ok
13:50:54.0281 3424        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) E:\WINDOWS\System32\drivers\vga.sys
13:50:54.0390 3424        VgaSave - ok
13:50:54.0390 3424        ViaIde - ok
13:50:54.0453 3424        VolSnap        (a5a712f4e880874a477af790b5186e1d) E:\WINDOWS\system32\drivers\VolSnap.sys
13:50:54.0578 3424        VolSnap - ok
13:50:54.0609 3424        VSS            (68f106273be29e7b7ef8266977268e78) E:\WINDOWS\System32\vssvc.exe
13:50:54.0750 3424        VSS - ok
13:50:54.0781 3424        W32Time        (7b353059e665f8b7ad2bbeaef597cf45) E:\WINDOWS\system32\w32time.dll
13:50:54.0890 3424        W32Time - ok
13:50:54.0921 3424        Wanarp          (e20b95baedb550f32dd489265c1da1f6) E:\WINDOWS\system32\DRIVERS\wanarp.sys
13:50:55.0046 3424        Wanarp - ok
13:50:55.0046 3424        WDICA - ok
13:50:55.0093 3424        wdmaud          (6768acf64b18196494413695f0c3a00f) E:\WINDOWS\system32\drivers\wdmaud.sys
13:50:55.0250 3424        wdmaud - ok
13:50:55.0281 3424        WebClient      (81727c9873e3905a2ffc1ebd07265002) E:\WINDOWS\System32\webclnt.dll
13:50:55.0406 3424        WebClient - ok
13:50:55.0531 3424        winmgmt        (6f3f3973d97714cc5f906a19fe883729) E:\WINDOWS\system32\wbem\WMIsvc.dll
13:50:55.0671 3424        winmgmt - ok
13:50:55.0687 3424        wltrysvc - ok
13:50:55.0765 3424        WmdmPmSN        (c51b4a5c05a5475708e3c81c7765b71d) E:\WINDOWS\system32\MsPMSNSv.dll
13:50:55.0812 3424        WmdmPmSN - ok
13:50:55.0890 3424        Wmi            (ffa4d901d46d07a5bab2d8307fbb51a6) E:\WINDOWS\System32\advapi32.dll
13:50:55.0937 3424        Wmi - ok
13:50:55.0984 3424        WmiAcpi        (c42584fd66ce9e17403aebca199f7bdb) E:\WINDOWS\system32\DRIVERS\wmiacpi.sys
13:50:56.0156 3424        WmiAcpi - ok
13:50:56.0218 3424        WmiApSrv        (93908111ba57a6e60ec2fa2de202105c) E:\WINDOWS\system32\wbem\wmiapsrv.exe
13:50:56.0312 3424        WmiApSrv - ok
13:50:56.0453 3424        WMPNetworkSvc  (bf05650bb7df5e9ebdd25974e22403bb) E:\Programme\Windows Media Player\WMPNetwk.exe
13:50:56.0515 3424        WMPNetworkSvc - ok
13:50:56.0562 3424        wscsvc          (300b3e84faf1a5c1f791c159ba28035d) E:\WINDOWS\system32\wscsvc.dll
13:50:56.0640 3424        wscsvc - ok
13:50:56.0671 3424        wuauserv        (7b4fe05202aa6bf9f4dfd0e6a0d8a085) E:\WINDOWS\system32\wuauserv.dll
13:50:56.0812 3424        wuauserv - ok
13:50:56.0890 3424        WudfPf          (f15feafffbb3644ccc80c5da584e6311) E:\WINDOWS\system32\DRIVERS\WudfPf.sys
13:50:56.0921 3424        WudfPf - ok
13:50:56.0921 3424        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) E:\WINDOWS\system32\DRIVERS\wudfrd.sys
13:50:56.0937 3424        WudfRd - ok
13:50:56.0953 3424        WudfSvc        (05231c04253c5bc30b26cbaae680ed89) E:\WINDOWS\System32\WUDFSvc.dll
13:50:56.0984 3424        WudfSvc - ok
13:50:57.0031 3424        WZCSVC          (c4f109c005f6725162d2d12ca751e4a7) E:\WINDOWS\System32\wzcsvc.dll
13:50:57.0187 3424        WZCSVC - ok
13:50:57.0265 3424        xmlprov        (0ada34871a2e1cd2caafed1237a47750) E:\WINDOWS\System32\xmlprov.dll
13:50:57.0406 3424        xmlprov - ok
13:50:57.0453 3424        MBR (0x1B8)    (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
13:50:58.0062 3424        \Device\Harddisk0\DR0 - ok
13:50:58.0062 3424        Boot (0x1200)  (1a11ef720f30c16be4abe60703aede4c) \Device\Harddisk0\DR0\Partition0
13:50:58.0062 3424        \Device\Harddisk0\DR0\Partition0 - ok
13:50:58.0109 3424        Boot (0x1200)  (484763ebf28d927bc8437af11627cf11) \Device\Harddisk0\DR0\Partition1
13:50:58.0109 3424        \Device\Harddisk0\DR0\Partition1 - ok
13:50:58.0109 3424        ============================================================
13:50:58.0109 3424        Scan finished
13:50:58.0109 3424        ============================================================
13:50:58.0218 3420        Detected object count: 13
13:50:58.0218 3420        Actual detected object count: 13
13:52:21.0906 3420        AegisP ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0906 3420        AegisP ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0906 3420        CA_LIC_CLNT ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0906 3420        CA_LIC_CLNT ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0921 3420        CA_LIC_SRVR ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0921 3420        CA_LIC_SRVR ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0921 3420        EvtEng ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0921 3420        EvtEng ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0921 3420        FingerprintServer ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0921 3420        FingerprintServer ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0921 3420        iGateway ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0921 3420        iGateway ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0921 3420        InoRPC ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0921 3420        InoRPC ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0937 3420        InoRT ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0937 3420        InoRT ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0937 3420        LogWatch ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0937 3420        LogWatch ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0937 3420        RegSrvc ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0937 3420        RegSrvc ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0937 3420        S24EventMonitor ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0937 3420        S24EventMonitor ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0937 3420        s24trans ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0937 3420        s24trans ( UnsignedFile.Multi.Generic ) - User select action: Skip
13:52:21.0953 3420        sesvc ( UnsignedFile.Multi.Generic ) - skipped by user
13:52:21.0953 3420        sesvc ( UnsignedFile.Multi.Generic ) - User select action: Skip

cosinus 26.06.2012 13:40
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Totalbird 26.06.2012 15:27
Hallo Arne,

Combofix LOgfile anbei.

Combofix Logfile:
Code:
ComboFix 12-06-26.01 - Saskia 26.06.2012  17:11:46.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1350 [GMT 2:00]
ausgeführt von:: e:\dokumente und einstellungen\Saskia\Desktop\ComboFix.exe
AV: eTrust ITM *Disabled/Updated* {33EA71EA-56CF-40B5-A06B-BD3A27397C44}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\alpeaDXsTlpealxVtU
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\AnyojLqEAnyEALq
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\DTyLOuVdsployvOrxds
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\EALqojLqoAnyEEAnqojnq
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\eJjqGgefAaNgEfJTsnD
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\ftUGVsUGnyojnqEALqEjn
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\jarnEVJTsLDQvjtrldyp
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\jLqoAnyEAnqojLvNQ
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\ofJTpGEsJAsNDUf
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\ojnyojLqEAnfsdxfsU
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\pnErvUsplELAuN
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\qEALqojnyojLqEuOvrQg
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\rQgvruOJNQOOvrQOJNu
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\tdGfsUGVtdxVtdOJrQg
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\teDUqXnJGleJjtNldqA
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\TNLUuXGoelQyxgsVjsXA
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\TsnjQrxUsDaqLguV
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\tXloqvgtGdepjoNJQfG
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\UGVtdxfsdxVtUAnyEjnyE
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\VDaqLONvdsployA
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\vrQgvrQOJNuOJnyE
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\VsUGVsdxftsalpeT
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\VtdxftdGVsUGDpsal
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\XeTDXsalpeaDXeugvrQOv
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\xfsUGJNQgvruOJNQ
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\yEALqEALyojnqouO
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\yJONxdepjorguVGDEqJ
e:\dokumente und einstellungen\Saskia\Anwendungsdaten\PriceGong\Data\yojnqoALqEjnyoTl
e:\windows\EventSystem.log
e:\windows\system32\dllcache\dlimport.exe
e:\windows\system32\dllcache\wmpvis.dll
e:\windows\system32\SET11D.tmp
e:\windows\system32\SET121.tmp
e:\windows\system32\SET129.tmp
e:\windows\system32\winsh324
e:\windows\system32\winsh325
.
Infizierte Kopie von e:\windows\system32\autochk.exe wurde gefunden und desinfiziert
Kopie von - e:\windows\ServicePackFiles\i386\autochk.exe wurde wiederhergestellt
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-05-26 bis 2012-06-26  ))))))))))))))))))))))))))))))
.
.
2012-06-21 13:59 . 2012-05-11 14:40        521728        -c----w-        e:\windows\system32\dllcache\jsdbgui.dll
2012-06-21 10:58 . 2012-06-21 11:01        --------        d-----w-        E:\Reparatur
2012-06-21 10:38 . 2008-04-14 02:22        26624        ----a-w-        e:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2012-06-21 10:32 . 2012-06-21 10:32        --------        d-----w-        e:\dokumente und einstellungen\Saskia\Anwendungsdaten\www.shadowexplorer.com
2012-06-21 10:32 . 2012-06-21 10:32        --------        d-----w-        e:\programme\ShadowExplorer
2012-06-20 17:19 . 2011-07-13 02:55        2237440        ----a-r-        E:\OTLPE.exe
2012-06-20 17:19 . 2012-06-20 17:19        --------        d-----w-        E:\_OTL
2012-06-20 14:44 . 2012-06-20 14:44        --------        d-----w-        e:\programme\ESET
2012-06-20 14:30 . 2012-06-20 14:30        --------        d-----w-        E:\found.000
2012-06-02 08:34 . 2012-06-26 15:17        17408        ----a-w-        e:\windows\system32\rpcnetp.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-26 11:59 . 2010-08-26 08:57        44544        ----a-w-        e:\windows\system32\agremove.exe
2012-06-02 13:19 . 2009-08-06 17:24        18456        ----a-w-        e:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24        15896        ----a-w-        e:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-02-16 15:23        329240        ----a-w-        e:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-02-16 15:23        210968        ----a-w-        e:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-02-16 15:23        219160        ----a-w-        e:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 17:24        15896        ----a-w-        e:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-02-16 15:23        53784        ----a-w-        e:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2004-08-04 12:00        97304        ----a-w-        e:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 17:24        23576        ----a-w-        e:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-02-16 15:23        577048        ----a-w-        e:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-02-16 15:23        1933848        ----a-w-        e:\windows\system32\wuaueng.dll
2012-05-31 13:22 . 2004-08-04 12:00        604160        ----a-w-        e:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2004-08-04 12:00        916992        ----a-w-        e:\windows\system32\wininet.dll
2012-05-15 13:56 . 2004-08-04 12:00        1863296        ----a-w-        e:\windows\system32\win32k.sys
2012-05-11 14:40 . 2004-08-04 12:00        43520        ----a-w-        e:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2004-08-04 12:00        1469440        ----a-w-        e:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2004-08-04 12:00        385024        ----a-w-        e:\windows\system32\html.iec
2012-05-05 03:14 . 2004-08-04 12:00        2150912        ----a-w-        e:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-04 00:50        2029056        ----a-w-        e:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2009-02-16 15:21        139656        ----a-w-        e:\windows\system32\drivers\rdpwd.sys
2012-04-04 13:56 . 2011-04-18 20:03        22344        ----a-w-        e:\windows\system32\drivers\mbam.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54        175912        ----a-w-        e:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "e:\programme\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="e:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-30 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FingerPrintSoftware"="e:\programme\Lenovo Fingerprint Software\fpapp.exe \s" [X]
"Realtime Monitor"="c:\programme\CA\eTrust Antivirus\realmon.exe" [2008-02-08 407368]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 16116224]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"AzMixerSel"="e:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-01-25 53248]
"NvCplDaemon"="e:\windows\system32\NvCpl.dll" [2007-03-21 7585792]
"nwiz"="nwiz.exe" [2007-03-21 1622016]
"Broadcom Wireless Manager UI"="e:\windows\system32\WLTRAY.exe" [2006-10-12 1282048]
"AGRSMMSG"="AGRSMMSG.exe" [2006-08-30 89542]
"QuickTime Task"="e:\programme\QuickTime\qttask.exe" [2010-08-10 421888]
"Adobe Reader Speed Launcher"="e:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="e:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"APSDaemon"="e:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"iTunesHelper"="e:\programme\iTunes\iTunesHelper.exe" [2012-03-27 421736]
"ConnectionCenter"="e:\programme\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
"Malwarebytes' Anti-Malware"="e:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
e:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - e:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ATFUS]
2007-02-27 16:26        131072        ----a-w-        e:\windows\system32\FpWinlogonNp.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ComputerAssociatesAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"e:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"e:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"=
"c:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"=
"c:\\Programme\\CA\\eTrust Antivirus\\Shellscn.exe"=
"e:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"e:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Programme\\iTunes\\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R1 ctxusbm;Citrix USB Monitor Driver;e:\windows\system32\drivers\ctxusbm.sys [08.09.2009 18:13 65584]
R2 FingerprintServer;Fingerprint Server;e:\windows\system32\FpLogonServ.exe [19.01.2007 16:16 61440]
R2 LogWatch;Event Log Watch;e:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [20.09.2002 18:29 53248]
R2 MBAMService;MBAMService;e:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [18.04.2011 22:03 654408]
R2 sesvc;ShadowExplorer Service;e:\programme\ShadowExplorer\sesvc.exe [21.06.2012 12:32 9216]
R3 MBAMProtector;MBAMProtector;e:\windows\system32\drivers\mbam.sys [18.04.2011 22:03 22344]
RUnknown rpcnetp;rpcnetp; [x]
S0 heypjtw;heypjtw;e:\windows\system32\drivers\tocul.sys --> e:\windows\system32\drivers\tocul.sys [?]
S2 gupdate;Google Update Service (gupdate);e:\programme\Google\Update\GoogleUpdate.exe [30.01.2010 21:32 135664]
S3 CA_LIC_CLNT;CA License Client;e:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [20.09.2002 18:27 77824]
S3 CA_LIC_SRVR;CA License Server;e:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [20.09.2002 18:41 77824]
S3 gupdatem;Google Update-Dienst (gupdatem);e:\programme\Google\Update\GoogleUpdate.exe [30.01.2010 21:32 135664]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - RPCNETP
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-01 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-06-26 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- e:\programme\Google\Update\GoogleUpdate.exe [2010-01-30 19:32]
.
2012-06-26 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- e:\programme\Google\Update\GoogleUpdate.exe [2010-01-30 19:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - e:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: unielektro.de\access
TCP: DhcpNameServer = 10.129.32.1 10.111.81.129
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{00000000-6E41-4FD3-8538-502F5495E5FC} - e:\programme\Ask.com\GenericAskToolbar.dll
URLSearchHooks-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - e:\programme\softonic-de3\prxtbsof0.dll
URLSearchHooks-{f4e6547e-325b-403c-a3bb-ad29ed37a92f} - e:\programme\SearchElf_1.2\tbSea0.dll
BHO-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - e:\programme\softonic-de3\prxtbsof0.dll
BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - e:\programme\Ask.com\GenericAskToolbar.dll
BHO-{f4e6547e-325b-403c-a3bb-ad29ed37a92f} - e:\programme\SearchElf_1.2\tbSea0.dll
Toolbar-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - e:\programme\softonic-de3\prxtbsof0.dll
Toolbar-{f4e6547e-325b-403c-a3bb-ad29ed37a92f} - e:\programme\SearchElf_1.2\tbSea0.dll
Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - e:\programme\Ask.com\GenericAskToolbar.dll
WebBrowser-{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - e:\programme\softonic-de3\prxtbsof0.dll
WebBrowser-{F4E6547E-325B-403C-A3BB-AD29ED37A92F} - e:\programme\SearchElf_1.2\tbSea0.dll
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - e:\programme\Ask.com\GenericAskToolbar.dll
AddRemove-Broadcom 802.11b Network Adapter - e:\programme\Broadcom\Broadcom 802.11 Network Adapter\bcmwlu00.exe
AddRemove-CitrixOnlinePluginPackWeb - e:\dokumente und einstellungen\All Users\Anwendungsdaten\Citrix\Citrix Online Plug-in - Web\TrolleyExpress.exe
AddRemove-conduitEngine - e:\programme\ConduitEngine\ConduitEngineUninstall.exe
AddRemove-SearchElf_1.2 Toolbar - e:\progra~1\SEARCH~1.2\UNWISE.EXE
AddRemove-softonic-de3 Toolbar - e:\programme\softonic-de3\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-26 17:18
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(960)
e:\windows\system32\FpWinLogonNp.dll
e:\programme\Lenovo Fingerprint Software\ATCSSINT.dll
e:\programme\Lenovo Fingerprint Software\SharedResources.dll
e:\programme\Lenovo Fingerprint Software\FPResource.dll
e:\programme\CA\SharedComponents\PPRealtime\bin\CACheck.dll
e:\programme\CA\SharedComponents\PPRealtime\bin\CAHook.dll
e:\programme\CA\SharedComponents\PPRealtime\bin\CAServer.dll
.
- - - - - - - > 'explorer.exe'(2536)
e:\programme\CA\SharedComponents\PPRealtime\bin\CACheck.dll
e:\programme\CA\SharedComponents\PPRealtime\bin\CAHook.dll
e:\programme\CA\SharedComponents\PPRealtime\bin\CAServer.dll
e:\windows\system32\webcheck.dll
e:\windows\system32\WPDShServiceObj.dll
e:\windows\system32\PortableDeviceTypes.dll
e:\windows\system32\PortableDeviceApi.dll
e:\windows\system32\xpsp3res.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
e:\programme\Intel\Wireless\Bin\EvtEng.exe
e:\programme\Intel\Wireless\Bin\S24EvMon.exe
e:\windows\System32\WLTRYSVC.EXE
e:\windows\System32\bcmwltry.exe
e:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
e:\programme\Bonjour\mDNSResponder.exe
e:\programme\CA\SharedComponents\iTechnology\igateway.exe
e:\programme\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe
e:\windows\system32\nvsvc32.exe
e:\programme\Intel\Wireless\Bin\RegSrvc.exe
e:\windows\System32\rpcnetp.exe
e:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
e:\windows\RTHDCPL.EXE
e:\windows\AGRSMMSG.exe
e:\programme\Citrix\ICA Client\wfcrun32.exe
e:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-26  17:22:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-06-26 15:22
.
Vor Suchlauf: 8 Verzeichnis(se), 114.616.094.720 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 115.362.717.696 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 2A3F341DBA3B55289674CD777C9AA34E
--- --- ---


Gruss T.

cosinus 26.06.2012 17:29
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
File::
e:\windows\system32\drivers\tocul.sys

Driver::
heypjtw
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Totalbird 27.06.2012 13:48
Hallo Arne,

anbei das Log nach dem CF Scripten.Combofix Logfile:
Code:
ComboFix 12-06-26.02 - Saskia 27.06.2012  15:29:14.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1375 [GMT 2:00]
ausgeführt von:: e:\dokumente und einstellungen\Saskia\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: e:\dokumente und einstellungen\Saskia\Desktop\CFScript.txt
AV: eTrust ITM *Disabled/Updated* {33EA71EA-56CF-40B5-A06B-BD3A27397C44}
.
FILE ::
"e:\windows\system32\drivers\tocul.sys"
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_heypjtw
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-05-27 bis 2012-06-27  ))))))))))))))))))))))))))))))
.
.
2012-06-26 15:17 . 2012-06-27 13:35        17408        ----a-w-        e:\windows\system32\rpcnetp.exe
2012-06-21 13:59 . 2012-05-11 14:40        521728        -c----w-        e:\windows\system32\dllcache\jsdbgui.dll
2012-06-21 10:58 . 2012-06-21 11:01        --------        d-----w-        E:\Reparatur
2012-06-21 10:38 . 2008-04-14 02:22        26624        ----a-w-        e:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2012-06-21 10:32 . 2012-06-21 10:32        --------        d-----w-        e:\dokumente und einstellungen\Saskia\Anwendungsdaten\www.shadowexplorer.com
2012-06-21 10:32 . 2012-06-21 10:32        --------        d-----w-        e:\programme\ShadowExplorer
2012-06-20 17:19 . 2011-07-13 02:55        2237440        ----a-r-        E:\OTLPE.exe
2012-06-20 17:19 . 2012-06-20 17:19        --------        d-----w-        E:\_OTL
2012-06-20 14:44 . 2012-06-20 14:44        --------        d-----w-        e:\programme\ESET
2012-06-20 14:30 . 2012-06-20 14:30        --------        d-----w-        E:\found.000
2012-06-02 08:34 . 2012-06-27 13:35        17408        ----a-w-        e:\windows\system32\rpcnetp.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-26 11:59 . 2010-08-26 08:57        44544        ----a-w-        e:\windows\system32\agremove.exe
2012-06-02 13:19 . 2009-08-06 17:24        18456        ----a-w-        e:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24        15896        ----a-w-        e:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-02-16 15:23        329240        ----a-w-        e:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-02-16 15:23        210968        ----a-w-        e:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-02-16 15:23        219160        ----a-w-        e:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 17:24        15896        ----a-w-        e:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-02-16 15:23        53784        ----a-w-        e:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2004-08-04 12:00        97304        ----a-w-        e:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 17:24        23576        ----a-w-        e:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-02-16 15:23        577048        ----a-w-        e:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-02-16 15:23        1933848        ----a-w-        e:\windows\system32\wuaueng.dll
2012-05-31 13:22 . 2004-08-04 12:00        604160        ----a-w-        e:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2004-08-04 12:00        916992        ----a-w-        e:\windows\system32\wininet.dll
2012-05-15 13:56 . 2004-08-04 12:00        1863296        ----a-w-        e:\windows\system32\win32k.sys
2012-05-11 14:40 . 2004-08-04 12:00        43520        ----a-w-        e:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2004-08-04 12:00        1469440        ----a-w-        e:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2004-08-04 12:00        385024        ----a-w-        e:\windows\system32\html.iec
2012-05-05 03:14 . 2004-08-04 12:00        2150912        ----a-w-        e:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-04 00:50        2029056        ----a-w-        e:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2009-02-16 15:21        139656        ----a-w-        e:\windows\system32\drivers\rdpwd.sys
2012-04-04 13:56 . 2011-04-18 20:03        22344        ----a-w-        e:\windows\system32\drivers\mbam.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54        175912        ----a-w-        e:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "e:\programme\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="e:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-30 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FingerPrintSoftware"="e:\programme\Lenovo Fingerprint Software\fpapp.exe \s" [X]
"Realtime Monitor"="c:\programme\CA\eTrust Antivirus\realmon.exe" [2008-02-08 407368]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 16116224]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"AzMixerSel"="e:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-01-25 53248]
"NvCplDaemon"="e:\windows\system32\NvCpl.dll" [2007-03-21 7585792]
"nwiz"="nwiz.exe" [2007-03-21 1622016]
"Broadcom Wireless Manager UI"="e:\windows\system32\WLTRAY.exe" [2006-10-12 1282048]
"AGRSMMSG"="AGRSMMSG.exe" [2006-08-30 89542]
"QuickTime Task"="e:\programme\QuickTime\qttask.exe" [2010-08-10 421888]
"Adobe Reader Speed Launcher"="e:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="e:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"APSDaemon"="e:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"iTunesHelper"="e:\programme\iTunes\iTunesHelper.exe" [2012-03-27 421736]
"ConnectionCenter"="e:\programme\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
"Malwarebytes' Anti-Malware"="e:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
e:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - e:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ATFUS]
2007-02-27 16:26        131072        ----a-w-        e:\windows\system32\FpWinlogonNp.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ComputerAssociatesAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"e:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"e:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"=
"c:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"=
"c:\\Programme\\CA\\eTrust Antivirus\\Shellscn.exe"=
"e:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"e:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Programme\\iTunes\\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R1 ctxusbm;Citrix USB Monitor Driver;e:\windows\system32\drivers\ctxusbm.sys [08.09.2009 18:13 65584]
R2 FingerprintServer;Fingerprint Server;e:\windows\system32\FpLogonServ.exe [19.01.2007 16:16 61440]
R2 LogWatch;Event Log Watch;e:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [20.09.2002 18:29 53248]
R2 MBAMService;MBAMService;e:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [18.04.2011 22:03 654408]
R2 sesvc;ShadowExplorer Service;e:\programme\ShadowExplorer\sesvc.exe [21.06.2012 12:32 9216]
R3 MBAMProtector;MBAMProtector;e:\windows\system32\drivers\mbam.sys [18.04.2011 22:03 22344]
RUnknown rpcnetp;rpcnetp; [x]
S2 gupdate;Google Update Service (gupdate);e:\programme\Google\Update\GoogleUpdate.exe [30.01.2010 21:32 135664]
S3 CA_LIC_CLNT;CA License Client;e:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [20.09.2002 18:27 77824]
S3 CA_LIC_SRVR;CA License Server;e:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [20.09.2002 18:41 77824]
S3 gupdatem;Google Update-Dienst (gupdatem);e:\programme\Google\Update\GoogleUpdate.exe [30.01.2010 21:32 135664]
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-01 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-06-27 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- e:\programme\Google\Update\GoogleUpdate.exe [2010-01-30 19:32]
.
2012-06-27 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- e:\programme\Google\Update\GoogleUpdate.exe [2010-01-30 19:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - e:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: unielektro.de\access
TCP: DhcpNameServer = 10.129.32.1 10.111.81.129
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-27 15:37
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(968)
e:\windows\system32\FpWinLogonNp.dll
e:\programme\Lenovo Fingerprint Software\ATCSSINT.dll
e:\programme\Lenovo Fingerprint Software\SharedResources.dll
e:\programme\Lenovo Fingerprint Software\FPResource.dll
e:\programme\CA\SharedComponents\PPRealtime\bin\CACheck.dll
e:\programme\CA\SharedComponents\PPRealtime\bin\CAHook.dll
e:\programme\CA\SharedComponents\PPRealtime\bin\CAServer.dll
.
- - - - - - - > 'explorer.exe'(3684)
e:\programme\CA\SharedComponents\PPRealtime\bin\CACheck.dll
e:\programme\CA\SharedComponents\PPRealtime\bin\CAHook.dll
e:\programme\CA\SharedComponents\PPRealtime\bin\CAServer.dll
e:\windows\system32\webcheck.dll
e:\windows\system32\WPDShServiceObj.dll
e:\windows\system32\PortableDeviceTypes.dll
e:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
e:\programme\Intel\Wireless\Bin\EvtEng.exe
e:\programme\Intel\Wireless\Bin\S24EvMon.exe
e:\windows\System32\WLTRYSVC.EXE
e:\windows\System32\bcmwltry.exe
e:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
e:\programme\Bonjour\mDNSResponder.exe
e:\programme\CA\SharedComponents\iTechnology\igateway.exe
e:\programme\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe
e:\windows\system32\nvsvc32.exe
e:\programme\Intel\Wireless\Bin\RegSrvc.exe
e:\windows\System32\rpcnetp.exe
e:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
e:\programme\Internet Explorer\IEXPLORE.EXE
e:\windows\RTHDCPL.EXE
e:\windows\AGRSMMSG.exe
e:\programme\Citrix\ICA Client\wfcrun32.exe
e:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-27  14:39:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-06-27 13:39
ComboFix2.txt  2012-06-26 15:22
.
Vor Suchlauf: 9 Verzeichnis(se), 115.462.168.576 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 115.381.829.632 Bytes frei
.
- - End Of File - - 428AD6904EDF7E1088E374383C01B3F7
--- --- ---

cosinus 28.06.2012 09:33
Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Totalbird 29.06.2012 11:42
Hi Arne,


anbei die gewünschten Logs.

OSAM LOG

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 12:16:53 on 29.06.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - "Microsoft Corporation" - E:\WINDOWS\system32\autochk.exe  (Data mismatch, rootkit activity | File found, but it contains no detailed information)

[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - E:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - E:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - E:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BCMWLCPL.CPL" - "Broadcom Corporation" - E:\WINDOWS\system32\BCMWLCPL.CPL
"infocardcpl.cpl" - "Microsoft Corporation" - E:\WINDOWS\system32\infocardcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - E:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - E:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.6.0.0" (AegisP) - "Meetinghouse Data Communications" - E:\WINDOWS\System32\DRIVERS\AegisP.sys
"catchme" (catchme) - ? - E:\ComboFix\catchme.sys  (File not found)
"Changer" (Changer) - ? - E:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - E:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"INO_FLPY" (INO_FLPY) - "Computer Associates" - E:\WINDOWS\System32\Drivers\ino_flpy.sys
"INO_FLTR" (INO_FLTR) - "Computer Associates" - E:\WINDOWS\system32\Drivers\ino_fltr.sys
"lbrtfdc" (lbrtfdc) - ? - E:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - E:\WINDOWS\system32\drivers\mbam.sys
"PCIDump" (PCIDump) - ? - E:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - E:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - E:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - E:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - E:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pwldypoc" (pwldypoc) - ? - E:\DOKUME~1\Saskia\LOKALE~1\Temp\pwldypoc.sys  (Hidden registry entry, rootkit activity | File not found)
"WDICA" (WDICA) - ? - E:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WLAN-Transport" (s24trans) - "Intel Corporation" - E:\WINDOWS\System32\DRIVERS\s24trans.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - e:\WINDOWS\system32\Rundll32.exe e:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - E:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - E:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - E:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - E:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - E:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - E:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - E:\Programme\Windows Live\Mail\mailcomm.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - E:\Programme\7-Zip\7-zip.dll
{0563DB41-F538-4B37-A92D-4659049B7766} "CLSID_WLMCMimeFilter" - "Microsoft Corporation" - E:\Programme\Windows Live\Mail\mailcomm.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -  (File not found | COM-object registry key not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - E:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - E:\WINDOWS\system32\nvshell.dll
{DCED20BE-3645-11D4-BC95-00C04F0E0588} "InoShell" - "CA" - C:\Programme\CA\eTrust Antivirus\InoShell.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - E:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - E:\Programme\Microsoft Office\Office10\msohev.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - E:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - E:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - e:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - e:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - E:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{2BE99FD4-A181-4996-BFA9-58C5FFD11F6C} "Windows Live Photo Gallery Autoplay Drop Target" - "Microsoft Corporation" - E:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F30F64-AC33-42F5-8FD1-5DC2D3FDE06C} "Windows Live Photo Gallery Editor Drop Target" - "Microsoft Corporation" - E:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D} "Windows Live Photo Gallery Editor Shim" - "Microsoft Corporation" - E:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F30F90-3E96-453B-AFCD-D71989ECC2C7} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - E:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F33137-EE26-412F-8D71-F84E4C2C6625} "Windows Live Photo Gallery Viewer Autoplay Shim" - "Microsoft Corporation" - E:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{00F374B7-B390-4884-B372-2FC349F2172B} "Windows Live Photo Gallery Viewer Drop Target" - "Microsoft Corporation" - E:\Programme\Windows Live\Photo Gallery\WLXPhotoGallery.exe
{00F346CB-35A4-465B-8B8F-65A29DBAB1F6} "Windows Live Photo Gallery Viewer Shim" - "Microsoft Corporation" - E:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll
{06A2568A-CED6-4187-BB20-400B8C02BE5A} "{06A2568A-CED6-4187-BB20-400B8C02BE5A}" - "Microsoft Corporation" - E:\Programme\Windows Live\Photo Gallery\WLXPhotoAcquireWizard.exe

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "&Windows Live Toolbar" - "Microsoft Corporation" - E:\Programme\Windows Live\Toolbar\wltcore.dll
<binary data> "Google Toolbar" - "Google Inc." - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - E:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - E:\WINDOWS\system32\Macromed\Flash\Flash10l.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - E:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -  (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - E:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "&Windows Live Toolbar" - "Microsoft Corporation" - E:\Programme\Windows Live\Toolbar\wltcore.dll
{30F9B915-B755-4826-820B-08FBA6BD249D} "Conduit Engine " - "Conduit Ltd." - E:\Programme\ConduitEngine\prxConduitEngine.dll
<binary data> "Google Toolbar" - "Google Inc." - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{30F9B915-B755-4826-820B-08FBA6BD249D} "Conduit Engine " - "Conduit Ltd." - E:\Programme\ConduitEngine\prxConduitEngine.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - E:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - E:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} "Search Helper" - "Microsoft Corporation" - E:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} "Windows Live Toolbar Helper" - "Microsoft Corporation" - E:\Programme\Windows Live\Toolbar\wltcore.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -  (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - E:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - E:\Dokumente und Einstellungen\Saskia\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"swg" - "Google Inc." - "E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce )-----
"FlashPlayerUpdate" - "Adobe Systems, Inc." - E:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe -update activex
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"APSDaemon" - "Apple Inc." - "E:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
"AzMixerSel" - "Realtek Semiconductor Corp." - E:\Programme\Realtek\InstallShield\AzMixerSel.exe
"Broadcom Wireless Manager UI" - "Broadcom Corporation" - E:\WINDOWS\system32\WLTRAY.exe
"ConnectionCenter" - "Citrix Systems, Inc." - "E:\Programme\Citrix\ICA Client\concentr.exe" /startup
"FingerPrintSoftware" - "Authentec,Inc" - "E:\Programme\Lenovo Fingerprint Software\fpapp.exe" \s
"iTunesHelper" - "Apple Inc." - "E:\Programme\iTunes\iTunesHelper.exe"
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "E:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"QuickTime Task" - "Apple Inc." - "E:\Programme\QuickTime\qttask.exe" -atboottime
"Realtime Monitor" - "CA" - "C:\Programme\CA\eTrust Antivirus\realmon.exe" -s

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Broadcom 802.11 Network Adapter Logon Provider" - "Broadcom Corporation" - E:\WINDOWS\System32\BCMLogon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - E:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatic Updates" (wuauserv) - ? - C:\WINDOWS\system32\wuauserv.dll  (File not found)
"Broadcom Wireless LAN Tray Service" (wltrysvc) - ? - E:\WINDOWS\System32\WLTRYSVC.EXE  (File found, but it contains no detailed information)
"CA License Client" (CA_LIC_CLNT) - "Computer Associates" - E:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
"CA License Server" (CA_LIC_SRVR) - "Computer Associates" - E:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
"CA Pest Patrol Realtime Protection Service" (ITMRTSVC) - "CA, Inc." - E:\Programme\CA\SharedComponents\PPRealtime\bin\ITMRTSVC.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - E:\Programme\Bonjour\mDNSResponder.exe
"eTrust ITM-Echtzeitdienst" (InoRT) - "CA" - C:\Programme\CA\eTrust Antivirus\InoRT.exe
"eTrust ITM-Jobdienst" (InoTask) - "CA" - C:\Programme\CA\eTrust Antivirus\InoTask.exe
"eTrust ITM-RPC-Dienst" (InoRPC) - "CA" - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
"Event Log Watch" (LogWatch) - "Computer Associates" - E:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
"Fingerprint Server" (FingerprintServer) - "AuthenTec,Inc" - E:\WINDOWS\system32\FpLogonServ.exe
"Google Software Updater" (gusvc) - "Google" - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - E:\Programme\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - E:\Programme\Google\Update\GoogleUpdate.exe
"Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - E:\Programme\Intel\Wireless\Bin\EvtEng.exe
"Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
"Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - E:\Programme\iPod\bin\iPodService.exe
"iTechnology iGateway 4.2" (iGateway) - "CA, Inc." - E:\Programme\CA\SharedComponents\iTechnology\igateway.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - E:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"SeaPort" (SeaPort) - "Microsoft Corporation" - E:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
"ShadowExplorer Service" (sesvc) - "www.shadowexplorer.com" - E:\Programme\ShadowExplorer\sesvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - e:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - e:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"ATFUS" - "AuthenTec,Inc" - E:\WINDOWS\system32\FpWinLogonNp.dll
"WgaLogon" - "Microsoft Corporation" - E:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - E:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


GMER kommt als Anhang , da zu gross

aswMBR läuft noch

Totalbird 29.06.2012 12:20
Hi Arne,

das fehlende aswMBR Log.

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-29 12:29:26
-----------------------------
12:29:26.843 OS Version: Windows 5.1.2600 Service Pack 3
12:29:26.843 Number of processors: 2 586 0xF0D
12:29:26.859 ComputerName: SASKIAS UserName: Saskia
12:29:27.453 Initialize success
12:36:02.828 AVAST engine defs: 12062901
12:37:49.640 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e
12:37:49.640 Disk 0 Vendor: ST9250827AS 3.CMF Size: 238475MB BusType: 3
12:37:49.718 Disk 0 MBR read successfully
12:37:49.718 Disk 0 MBR scan
12:37:49.765 Disk 0 Windows XP default MBR code
12:37:49.781 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 99998 MB offset 63
12:37:49.781 Disk 0 Partition - 00 0F Extended LBA 138466 MB offset 204796620
12:37:49.812 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 138466 MB offset 204796683
12:37:49.875 Disk 0 scanning sectors +488376000
12:37:50.015 Disk 0 scanning E:\WINDOWS\system32\drivers
12:38:21.078 Service scanning
12:38:34.812 Modules scanning
12:39:16.687 Disk 0 trace - called modules:
12:39:16.750 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
12:39:16.750 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89b69ab8]
12:39:16.750 3 CLASSPNP.SYS[f7657fd7] -> nt!IofCallDriver -> \Device\0000006f[0x89b719e8]
12:39:16.750 5 ACPI.sys[f75ad620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-e[0x89b93d98]
12:39:17.203 AVAST engine scan E:\WINDOWS
12:40:32.953 AVAST engine scan E:\WINDOWS\system32
12:47:06.203 AVAST engine scan E:\WINDOWS\system32\drivers
12:48:07.578 AVAST engine scan E:\Dokumente und Einstellungen\Saskia
12:58:01.250 AVAST engine scan E:\Dokumente und Einstellungen\All Users
12:59:51.953 Scan finished successfully
13:19:31.218 Disk 0 MBR has been saved successfully to "E:\Dokumente und Einstellungen\Saskia\Desktop\MBR.dat"
13:19:31.218 The log file has been saved successfully to "E:\Dokumente und Einstellungen\Saskia\Desktop\aswMBR.txt"

cosinus 29.06.2012 12:44
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Totalbird 03.07.2012 14:08
Hallo Arne,

anbei die neuen Logs.

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/03/2012 at 03:00 PM

Application Version : 5.5.1006

Core Rules Database Version : 8836
Trace Rules Database Version: 6648

Scan type      : Complete Scan
Total Scan Time : 00:47:07

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 568
Memory threats detected  : 0
Registry items scanned    : 33526
Registry threats detected : 0
File items scanned        : 49585
File threats detected    : 104

Adware.Tracking Cookie
        E:\Dokumente und Einstellungen\Saskia\Cookies\saskia@2o7[2].txt [ /2o7 ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\saskia@a.revenuemax[1].txt [ /a.revenuemax ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\saskia@ad.adition[1].txt [ /ad.adition ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\saskia@ad.dyntracker[1].txt [ /ad.dyntracker ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\saskia@ads.adshopping[1].txt [ /ads.adshopping ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\saskia@ads.fling[1].txt [ /ads.fling ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\saskia@ads.zeusclicks[1].txt [ /ads.zeusclicks ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\saskia@adultfriendfinder[1].txt [ /adultfriendfinder ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\saskia@track.webtrekk[1].txt [ /track.webtrekk ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\64TYM45W.txt [ /de.sitestat.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\3BBVA6GS.txt [ /adfarm1.adition.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\O4TXD83W.txt [ /track.effiliation.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\505E7X0H.txt [ /revsci.net ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\FK8H5SNH.txt [ /adserver.ep-solutions.org ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\Q156Q21C.txt [ /guj.122.2o7.net ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\S6Q4ALP6.txt [ /ad3.adfarm1.adition.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\DHG3PRGL.txt [ /tracking.quisma.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\LS9ZYM4W.txt [ /tribalfusion.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\DTENDONV.txt [ /adserver2.clipkit.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\MG2MJ9AH.txt [ /eas.apm.emediate.eu ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\WCQQJBUD.txt [ /advertising.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\6CZ2V44S.txt [ /ads.creative-serving.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\AB9XSFBF.txt [ /de.at.atwola.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\5KXKNRL2.txt [ /fastclick.net ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\2T8EZYLC.txt [ /webmasterplan.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\AG9S35P6.txt [ /insightexpressai.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\HHXLBG34.txt [ /ad.yieldmanager.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\KVJ02MME.txt [ /ad.zanox.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\928FLME8.txt [ /dyntracker.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\TB0U7136.txt [ /www.googleadservices.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\RY5J06I0.txt [ /bs.serving-sys.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\2S9S6QZ6.txt [ /ads.immobilienscout24.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\5CIYBTL0.txt [ /atdmt.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\F97LVQBD.txt [ /adviva.net ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\IURATQLK.txt [ /de.sitestat.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\D8LLC7PO.txt [ /ad.ad-srv.net ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\HOBSX07L.txt [ /tradedoubler.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\CBX93K9R.txt [ /apmebf.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\RZG0AQ4W.txt [ /ads.cc ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\1NCAPRD3.txt [ /ad4.adfarm1.adition.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\14VONLPT.txt [ /zanox-affiliate.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\UEB28JHZ.txt [ /statcounter.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\R01P4OF4.txt [ /doubleclick.net ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\SC9331LP.txt [ /xiti.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\AGCZPN0X.txt [ /amazon-adsystem.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\GW4VJQ88.txt [ /specificclick.net ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\WNAD0M07.txt [ /party-discount.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\N0JNGHZO.txt [ /ww251.smartadserver.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\GLKRZOA9.txt [ /im.banner.t-online.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\WNFB9BUZ.txt [ /adtech.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\R2GJVFU9.txt [ /kontera.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\PDK8EIUJ.txt [ /www.googleadservices.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\67H6KNJQ.txt [ /www.burstnet.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\T70BZ5CY.txt [ /traffictrack.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\XMIWX909.txt [ /ads.quartermedia.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\7U61VLVZ.txt [ /ru4.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\WIHCIBZ9.txt [ /zanox.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\B984TVKN.txt [ /s4.trafficmaxx.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\VEO5C5TL.txt [ /adx.chip.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\H78SA7H0.txt [ /de.sitestat.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\F9YASFWD.txt [ /estat.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\S5PDLX5F.txt [ /serving-sys.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\KNBUXWTY.txt [ /ad1.adfarm1.adition.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\3DO4CHG4.txt [ /zedo.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\PNHQR8XD.txt [ /imrworldwide.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\LXW82RHL.txt [ /smartadserver.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\3762YUFW.txt [ /hightraffic.hugoboss.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\5HC3I7IC.txt [ /mediaplex.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\K3QYZQG1.txt [ /clickfuse.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\GQMDALK1.txt [ /track.effiliation.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\FEI0RZN0.txt [ /ad.360yield.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\KMIPV9EK.txt [ /ad.adc-serv.net ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\X0CSZAGK.txt [ /invitemedia.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\X2OZFTXJ.txt [ /ad2.adfarm1.adition.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\M3D3ZO04.txt [ /ad.adnet.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\2UY15I4O.txt [ /de.sitestat.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\6N4B1F93.txt [ /www.googleadservices.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\D0H6JC1H.txt [ /eyewonder.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\6VP2QGNT.txt [ /www.etracker.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\KEUAI2WO.txt [ /media.gan-online.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\B6PWYICI.txt [ /www.zanox-affiliate.de ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\5O06INYJ.txt [ /questionmarket.com ]
        E:\Dokumente und Einstellungen\Saskia\Cookies\H2J8JK4D.txt [ /adserver.adtechus.com ]
        ads2.msads.net [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        bc.youporn.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        cdn1.eyewonder.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        ds.serving-sys.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        files.youporn.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        hs.interpolls.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        imagesrv.adition.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        media01.kyte.tv [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        momsextube.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        msntest.serving-sys.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        pornme.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        pornoprinzen.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        s0.2mdn.net [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        serving-sys.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        static.youporn.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        vidii.hardsextube.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        www.naiadsystems.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        www.pornhub.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]
        youporn.videobox.com [ E:\DOKUMENTE UND EINSTELLUNGEN\SASKIA\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YHSKC5SP ]

Trojan.Agent/Gen-Nullo[Short]
        E:\SYSTEM VOLUME INFORMATION\_RESTORE{F0E357BD-B826-492A-AC1E-35D0DDAE6916}\RP2\A0000087.EXE
        E:\SYSTEM VOLUME INFORMATION\_RESTORE{F0E357BD-B826-492A-AC1E-35D0DDAE6916}\RP2\A0000088.EXE

Malware Log:



Code:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.03.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Saskia :: SASKIAS [Administrator]

03.07.2012 12:25:33
mbam-log-2012-07-03 (12-25-33).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 245317
Laufzeit: 37 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

cosinus 03.07.2012 15:14
Sieht ok aus, da wurden nur Cookies gefunden. Und zwei Überreste in der SWH, kann alles weg.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Totalbird 03.07.2012 16:19
Hallo Arne,

bis auf ein paar Unverträglichkeiten bei meinem MS-Office installierten Produkten sieht das System wieder stabil aus. Natürlich habe ich noch die diversen Dateien, die der Trojaner unbrauchbar gemacht hat. Da werde ich mich je nachdem gepflegt daran machen um doch noch die ein oder andere widerherstellung positiv zu gestalten.

Eine Frage noch:
Der jetztigen Zustand des Rechners ist aus Deiner Sicht nun sauber und ich muss keine Bedenken mehr atm. haben ?

Gruss Thomas

cosinus 04.07.2012 14:23
Zitat:
bis auf ein paar Unverträglichkeiten bei meinem MS-Office installierten Produkten
Das heißt was genau?
Hin und wieder musste ich über über Systemsteuerung/Software bzw. bei Vista und Win7 Programme und Funktionen die Office-Installation reparieren - wenn zB Word oder Excel aus schier unerfindlichen Gründen mittedrin mal wieder abkacheln wollte :koch:

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Totalbird 06.07.2012 15:49
Hallo Arne,

zu den MS Office Unverträglichkeiten:

Word z.Bsp. lässt sich starten, das Layout erscheint, mit neuer Seite etc. danach erscheint in einem Fenster der Windows Installer(wird vorbereitet bla bla.) und er möchte die Install CD haben. Ich denke ich werde mal die Reparatur Session versuchen.

Gruß Thomas

Totalbird 13.07.2012 10:18
Hallo Arne,

MS Office funktioniert wieder nach der Reparatur Einheit.
Widerherstellung von den umbenannten/defekten Files läuft noch .
Mal schauen wann es da ein Licht am Ende des Tunnels gibt. ;-)

Dir gilt mein grösster Dank für die Problembegleitung und der hilfreichen Beseitigung des Seuchenbruders auf dem Rechner.

Du und das Team hier macht einen Prima Job !!!

Vielen Dank nochmals

T-Bird


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:13 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130