Trojaner-Board - GVU Trojaner - Sperrbildschirm auch im abgesicherten Modus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner - Sperrbildschirm auch im abgesicherten Modus - würde mich über Hilfe freuen! (https://www.trojaner-board.de/129964-gvu-trojaner-sperrbildschirm-abgesicherten-modus-wuerde-mich-hilfe-freuen.html)

GVU Trojaner - Sperrbildschirm auch im abgesicherten Modus - würde mich über Hilfe freuen!

Hallo,

auch ich habe den Trojaner und habe den Sperrbildschirm ebenfalls im abgesichertem Modus.

Ich würde mich freuen, wenn mir jemand helfen würde, also den Rechner mit eurer Anleitung wieder säubern könnte, das wäre genial.

Ich habe gerade schon otlpen runtergeladen und brenne es zur Zeit, dann wollte ich folgendes machen, wie in einem parallelthread beschrieben:

"Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt. "

Richtig soweit????

Über eure Hilfe würde ich mich freuen!!

hi
richtig, logs bitte posten.

danke,

dann lege ich mal los!

lass soclhe zwischenposts weg, danke.

So, die otl.txt habe ich schon mal gefunden, die wurde direkt erstellt, die extras.txt suche ich gerade noch,

hier schonmal die otl.txt:OTL Logfile:

Code:

OTL logfile created on: 1/23/2013 11:50:13 AM - Run 

OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE

Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 92.00% Memory free

3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 69.11 Gb Total Space | 10.48 Gb Free Space | 15.16% Space Free | Partition Type: NTFS

Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: REATOGO | User Name: SYSTEM

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Using ControlSet: ControlSet001

 
 ========== Win32 Services (SafeList) ==========

 

SRV - [2013/01/22 12:31:56 | 000,182,784 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Dokumente und Einstellungen\MSC\wgsdgsdgdsgsd.exe -- (winmgmt)

SRV - [2013/01/11 08:43:27 | 000,251,400 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)

SRV - [2012/09/12 10:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)

SRV - [2012/07/13 06:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)

SRV - [2011/10/24 15:32:00 | 000,055,144 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)

SRV - [2011/10/21 09:08:42 | 000,213,376 | ---- | M] (FileOpen Systems Inc.) [Auto] -- C:\Programme\FileOpen\Services\FileOpenManagerSvc32.exe -- (FileOpenManagerSvc)

SRV - [2010/08/24 18:28:00 | 000,132,456 | ---- | M] (Lenovo.) [Auto] -- C:\Programme\ThinkPad\Utilities\DOZESVC.EXE -- (DozeSvc)

SRV - [2010/08/24 18:28:00 | 000,053,248 | ---- | M] () [Auto] -- C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe -- (Power Manager DBC Service)

SRV - [2010/05/25 03:57:26 | 000,349,528 | ---- | M] (Broadcom Corporation.) [Auto] -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe -- (btwdins)

SRV - [2010/03/05 03:01:46 | 000,862,480 | ---- | M] (Intel(R) Corporation) [Auto] -- C:\Programme\Intel\WiFi\bin\EvtEng.exe -- (EvtEng) Intel(R)

SRV - [2010/03/05 02:54:20 | 000,954,368 | ---- | M] (Intel(R) Corporation) [Auto] -- C:\Programme\Intel\WiFi\bin\S24EvMon.exe -- (S24EventMonitor) Intel(R)

SRV - [2010/03/05 02:43:50 | 000,473,360 | ---- | M] (Intel(R) Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe -- (RegSrvc) Intel(R)

SRV - [2010/03/04 15:38:00 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)

SRV - [2009/09/24 08:03:58 | 000,475,220 | ---- | M] (Atheros) [Auto] -- C:\WINDOWS\system32\acs.exe -- (acs)

SRV - [2008/05/14 09:42:30 | 001,155,072 | ---- | M] (Lenovo Group Limited) [Auto] -- C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe -- (TVT Scheduler)

SRV - [2008/05/14 09:25:12 | 000,520,192 | ---- | M] () [Auto] -- C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe -- (TVT Backup Protection Service)

SRV - [2008/05/14 08:58:54 | 000,644,408 | ---- | M] (Lenovo Group Limited) [Auto] -- C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe -- (ThinkVantage Registry Monitor Service)

SRV - [2008/05/08 22:50:46 | 000,253,952 | ---- | M] (Lenovo Group Limited) [Auto] -- C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe -- (TVT_UpdateMonitor)

SRV - [2006/06/29 14:57:50 | 000,032,768 | ---- | M] () [Auto] -- C:\WINDOWS\system32\TpKmpSvc.exe -- (TpKmpSVC)

SRV - [2003/07/28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand] --  -- (winachsf)

DRV - File not found [Kernel | On_Demand] --  -- (WDICA)

DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)

DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)

DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)

DRV - File not found [Kernel | System] --  -- (PCIDump)

DRV - File not found [Kernel | Auto] --  -- (mdmxsdk)

DRV - File not found [Kernel | System] --  -- (lbrtfdc)

DRV - File not found [Kernel | System] --  -- (jekblibh)

DRV - File not found [Kernel | System] --  -- (inqmmfdx)

DRV - File not found [Kernel | System] --  -- (i2omgmt)

DRV - File not found [Kernel | On_Demand] --  -- (HSFHWAZL)

DRV - File not found [Kernel | On_Demand] --  -- (HSF_DPV)

DRV - File not found [Kernel | System] --  -- (Changer)

DRV - File not found [Kernel | System] --  -- (cbfdawnr)

DRV - [2013/01/23 04:20:57 | 000,043,600 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\qwzmmfyw.sys -- (qwzmmfyw)

DRV - [2011/01/06 12:04:36 | 000,027,632 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\seehcri.sys -- (seehcri)

DRV - [2011/01/06 12:04:17 | 000,025,512 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ggsemc.sys -- (ggsemc)

DRV - [2011/01/06 12:04:17 | 000,013,224 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ggflt.sys -- (ggflt)

DRV - [2010/11/30 11:07:06 | 000,025,088 | ---- | M] (TeamViewer GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\teamviewervpn.sys -- (teamviewervpn)

DRV - [2010/08/24 18:28:00 | 000,024,304 | ---- | M] (Lenovo.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\DOZEHDD.SYS -- (DozeHDD)

DRV - [2010/08/24 18:28:00 | 000,004,442 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\TPPWRIF.SYS -- (TPPWRIF)

DRV - [2010/08/10 16:08:31 | 000,030,144 | ---- | M] (Lenovo (United States) Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)

DRV - [2010/06/01 06:51:56 | 000,993,320 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)

DRV - [2009/11/12 06:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)

DRV - [2009/10/09 05:12:02 | 000,120,360 | ---- | M] (Lenovo.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\ApsX86.sys -- (Shockprf)

DRV - [2009/10/09 05:10:24 | 000,020,520 | ---- | M] (Lenovo.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\ApsHM86.sys -- (TPDIGIMN)

DRV - [2009/08/09 18:46:38 | 000,013,952 | ---- | M] (Intel Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans)

DRV - [2009/04/03 04:18:06 | 001,347,168 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)

DRV - [2009/03/25 10:48:00 | 000,114,728 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s1018mdm.sys -- (s1018mdm)

DRV - [2009/03/25 10:48:00 | 000,109,864 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s1018unic.sys -- (s1018unic) Sony Ericsson Device 1018 USB Ethernet Emulation (WDM)

DRV - [2009/03/25 10:48:00 | 000,106,208 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s1018mgmt.sys -- (s1018mgmt) Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM)

DRV - [2009/03/25 10:48:00 | 000,104,744 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s1018obex.sys -- (s1018obex)

DRV - [2009/03/25 10:48:00 | 000,086,824 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s1018bus.sys -- (s1018bus) Sony Ericsson Device 1018 driver (WDM)

DRV - [2009/03/25 10:48:00 | 000,026,024 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s1018nd5.sys -- (s1018nd5) Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS)

DRV - [2009/03/25 10:48:00 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s1018mdfl.sys -- (s1018mdfl)

DRV - [2008/05/12 11:04:02 | 000,013,480 | ---- | M] (Lenovo Group Limited) [Kernel | System] -- C:\WINDOWS\system32\drivers\smiif32.sys -- (lenovo.smi)

DRV - [2008/05/08 22:50:48 | 000,046,144 | ---- | M] (Lenovo) [Kernel | System] -- C:\WINDOWS\system32\drivers\tvtumon.sys -- (tvtumon)

DRV - [2008/02/22 09:54:40 | 000,037,312 | ---- | M] (Lenovo (United States) Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tvti2c.sys -- (TVTI2C)

DRV - [2008/02/08 02:46:36 | 000,057,408 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wsimd.sys -- (WSIMD)

DRV - [2007/05/02 04:34:32 | 000,161,792 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)

DRV - [2007/04/27 09:00:58 | 000,666,112 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\CHDAudN.sys -- (HdAudAddService)

DRV - [2007/04/23 09:54:50 | 000,100,488 | R--- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s115mgmt.sys -- (s115mgmt) Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM)

DRV - [2007/04/23 09:54:50 | 000,098,568 | R--- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s115obex.sys -- (s115obex)

DRV - [2007/04/23 09:54:48 | 000,108,680 | R--- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s115mdm.sys -- (s115mdm)

DRV - [2007/04/23 09:54:48 | 000,015,112 | R--- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s115mdfl.sys -- (s115mdfl)

DRV - [2007/04/23 09:54:46 | 000,083,208 | R--- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\s115bus.sys -- (s115bus) Sony Ericsson Device 115 driver (WDM)

DRV - [2006/10/12 19:21:04 | 000,020,512 | ---- | M] (EnTech Taiwan) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\TVicPort.sys -- (TVicPort)

DRV - [2001/08/17 07:48:14 | 000,011,520 | ---- | M] (IBM Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TwoTrack.sys -- (TwoTrack)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\MSC_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKU\MSC_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()

FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)

FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

 

 

 

O1 HOSTS File: ([2001/08/18 07:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O3 - HKU\MSC_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)

O4 - HKLM..\Run: [MSC] C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)

O4 - HKLM..\Run: [PWRMGRTR] C:\Programme\ThinkPad\Utilities\PWRMGRTR.DLL (Lenovo Group Limited)

O4 - HKLM..\Run: [TPFanControl] C:\Programme\TPFanControl\TPFanControl.exe (troubadix)

O4 - HKLM..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe (Lenovo)

O4 - HKLM..\Run: [TrackPointSrv] C:\WINDOWS\System32\tp4mon.exe (IBM Corporation)

O4 - HKLM..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe (Lenovo Group Limited)

O4 - HKU\.DEFAULT..\Run: [DWQueuedReporting] C:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE (Microsoft Corporation)

O4 - HKU\MSC_ON_C..\Run: [Spotify] C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Spotify\Spotify.exe (Spotify Ltd)

O4 - HKU\MSC_ON_C..\Run: [Spotify Web Helper] C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd)

O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)

O4 - Startup: C:\Dokumente und Einstellungen\MSC\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\MSC_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm ()

O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} hxxp://www.lidl-fotos.de/ips-opdata/layout/lidl02/objects/jordan.cab (JordanUploader Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2010/08/10 10:32:45 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2013/01/23 04:20:57 | 000,043,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\qwzmmfyw.sys

[2013/01/23 04:02:21 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache

[2013/01/23 04:02:04 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft

[2013/01/23 04:02:04 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo

[2013/01/23 04:02:04 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

[2013/01/23 04:02:04 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör

[2013/01/23 04:02:04 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü

[2013/01/23 04:02:04 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart

[2013/01/23 04:02:04 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies

[2013/01/23 04:02:04 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen

[2013/01/23 04:02:04 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent

[2013/01/23 04:02:04 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung

[2013/01/23 04:02:04 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen

[2013/01/23 04:02:04 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung

[2013/01/23 04:02:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft

[2013/01/23 04:02:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten

[2013/01/23 04:02:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop

[2013/01/22 12:31:51 | 000,182,784 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\MSC\wgsdgsdgdsgsd.exe

[2013/01/11 08:08:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Chrome

[2013/01/11 08:07:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MSC\Lokale Einstellungen\Anwendungsdaten\Google

[2013/01/11 08:07:12 | 000,000,000 | ---D | C] -- C:\Programme\Google

[2013/01/11 08:05:59 | 000,697,864 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe

[2013/01/11 08:05:59 | 000,074,248 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[2013/01/11 05:19:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MSC\Lokale Einstellungen\Anwendungsdaten\Spotify

[2013/01/11 05:19:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Spotify

[2013/01/11 05:18:37 | 019,666,160 | ---- | C] (Spotify Ltd) -- C:\Dokumente und Einstellungen\MSC\Desktop\Spotify_Installer0851333.exe

[2013/01/11 04:43:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MSC\Desktop\LL.M

[2013/01/07 09:18:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ElsterFormular

[2013/01/07 08:41:23 | 000,000,000 | ---D | C] -- C:\temp

[2013/01/07 07:23:37 | 000,000,000 | ---D | C] -- C:\Programme\Dropbox

[2013/01/03 06:08:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MSC\Desktop\2012

[2013/01/03 04:31:21 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\OpenOffice.org 3.4.1

[2013/01/03 04:02:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MSC\Desktop\RA Schoppe

[2012/12/29 10:46:01 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\MSC\Recent

[2012/12/29 09:46:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MSC\Desktop\Vorlagen

[2012/12/28 06:01:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner

[2012/12/28 06:01:11 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner

 
 ========== Files - Modified Within 30 Days ==========

 

[2013/01/23 04:29:43 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job

[2013/01/23 04:20:57 | 000,043,600 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\qwzmmfyw.sys

[2013/01/23 04:19:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2013/01/23 04:02:17 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad

[2013/01/23 04:02:14 | 000,002,909 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js

[2013/01/23 04:02:14 | 000,000,780 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\runctf.lnk

[2013/01/23 03:57:16 | 000,000,780 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Startmenü\Programme\Autostart\runctf.lnk

[2013/01/22 12:33:39 | 000,317,736 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

[2013/01/22 12:31:56 | 000,182,784 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\MSC\wgsdgsdgdsgsd.exe

[2013/01/22 12:17:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2013/01/22 11:43:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job

[2013/01/22 11:07:02 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job

[2013/01/22 10:57:43 | 000,000,296 | ---- | M] () -- C:\WINDOWS\tasks\PMTask.job

[2013/01/22 10:57:34 | 000,000,302 | ---- | M] () -- C:\WINDOWS\tasks\GlaryInitialize.job

[2013/01/22 10:57:18 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2013/01/22 10:53:48 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2013/01/14 08:10:27 | 000,034,312 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Desktop\fax.tif

[2013/01/13 08:10:36 | 037,186,967 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Desktop\3 Nightcall.rar

[2013/01/13 04:07:03 | 027,745,119 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Desktop\kabl.rar

[2013/01/12 18:23:29 | 000,033,107 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Desktop\RA_Coesfeld.pdf

[2013/01/12 06:36:16 | 000,001,795 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

[2013/01/12 06:34:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware

[2013/01/12 04:50:44 | 023,101,532 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Desktop\2 1986 EP.rar

[2013/01/11 13:11:36 | 027,901,614 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Desktop\1 Teddy Boy EP.rar

[2013/01/11 11:32:45 | 000,037,500 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Desktop\vorlage-wissenschaftliche-arbeiten-windows-macos-linux-v25.ott

[2013/01/11 10:42:37 | 000,002,347 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk

[2013/01/11 10:42:37 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk

[2013/01/11 08:43:26 | 000,697,864 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe

[2013/01/11 08:43:26 | 000,074,248 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[2013/01/11 08:21:23 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk

[2013/01/11 08:21:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Chrome

[2013/01/11 05:19:19 | 000,001,864 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Desktop\Spotify.lnk

[2013/01/11 05:18:56 | 019,666,160 | ---- | M] (Spotify Ltd) -- C:\Dokumente und Einstellungen\MSC\Desktop\Spotify_Installer0851333.exe

[2013/01/11 04:27:39 | 000,449,492 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2013/01/11 04:27:39 | 000,433,138 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2013/01/11 04:27:39 | 000,080,948 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2013/01/11 04:27:39 | 000,068,094 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2013/01/11 04:19:46 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[2013/01/08 14:37:04 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[2013/01/07 09:18:56 | 000,000,854 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk

[2013/01/07 09:18:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ElsterFormular

[2013/01/07 09:09:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Glary Utilities

[2013/01/07 07:23:23 | 000,001,014 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Desktop\Dropbox.lnk

[2013/01/06 00:33:34 | 006,009,856 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll

[2013/01/03 10:34:25 | 000,002,176 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\.recently-used.xbel

[2013/01/03 04:36:29 | 000,147,608 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2013/01/03 04:32:10 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\OpenOffice.org 3.4.1

[2013/01/03 04:31:21 | 000,000,909 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\OpenOffice.org 3.4.1.lnk

[2012/12/28 06:05:10 | 000,259,600 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Eigene Dateien\MMX9RegistryBackup_12-28-2012_12.05.09.reg

[2012/12/28 06:01:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner

 
 ========== Files Created - No Company Name ==========

 

[2013/01/23 04:02:14 | 000,000,780 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\runctf.lnk

[2013/01/23 04:02:05 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Remoteunterstützung.lnk

[2013/01/23 04:02:04 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Windows Media Player.lnk

[2013/01/23 03:57:16 | 000,002,909 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js

[2013/01/23 03:57:16 | 000,000,780 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Startmenü\Programme\Autostart\runctf.lnk

[2013/01/22 12:32:05 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad

[2013/01/14 07:40:23 | 000,034,312 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Desktop\fax.tif

[2013/01/13 08:01:59 | 037,186,967 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Desktop\3 Nightcall.rar

[2013/01/13 04:00:40 | 027,745,119 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Desktop\kabl.rar

[2013/01/12 04:45:28 | 023,101,532 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Desktop\2 1986 EP.rar

[2013/01/11 13:05:10 | 027,901,614 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Desktop\1 Teddy Boy EP.rar

[2013/01/11 11:32:45 | 000,037,500 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Desktop\vorlage-wissenschaftliche-arbeiten-windows-macos-linux-v25.ott

[2013/01/11 10:41:16 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk

[2013/01/11 10:41:15 | 000,002,347 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk

[2013/01/11 10:37:52 | 000,033,107 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Desktop\RA_Coesfeld.pdf

[2013/01/11 08:08:28 | 000,001,795 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

[2013/01/11 08:08:28 | 000,001,777 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk

[2013/01/11 08:07:44 | 000,001,084 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2013/01/11 08:07:44 | 000,001,080 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2013/01/11 08:06:00 | 000,000,884 | ---- | C] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job

[2013/01/11 05:19:19 | 000,001,870 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Startmenü\Programme\Spotify.lnk

[2013/01/11 05:19:19 | 000,001,864 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Desktop\Spotify.lnk

[2013/01/11 04:28:34 | 000,317,736 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

[2013/01/11 04:19:44 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK

[2013/01/07 09:18:56 | 000,000,854 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk

[2013/01/03 10:34:22 | 000,002,176 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\.recently-used.xbel

[2013/01/03 04:31:21 | 000,000,909 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\OpenOffice.org 3.4.1.lnk

[2012/12/28 06:05:10 | 000,259,600 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Eigene Dateien\MMX9RegistryBackup_12-28-2012_12.05.09.reg

[2012/10/18 10:39:32 | 083,023,306 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\emorhc.pad

[2012/02/16 08:19:16 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

[2011/03/27 11:45:00 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys

[2011/01/29 11:51:03 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat

[2011/01/12 11:41:40 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat

[2010/12/28 07:49:43 | 000,001,995 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\SAS7_000.DAT

[2010/10/23 14:46:46 | 000,000,055 | ---- | C] () -- C:\WINDOWS\wininit.ini

[2010/09/15 03:26:12 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\TpKmpSvc.exe

[2010/09/15 03:18:35 | 000,196,608 | ---- | C] () -- C:\WINDOWS\PWMBTHLP.EXE

[2010/09/15 03:18:32 | 000,004,442 | ---- | C] () -- C:\WINDOWS\System32\drivers\TPPWRIF.SYS

[2010/08/27 05:07:26 | 000,554,496 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll

[2010/08/16 01:05:53 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Ÿ9Ÿ9

[2010/08/14 08:01:16 | 000,010,567 | R--- | C] () -- C:\WINDOWS\hpwscr19.dat

[2010/08/14 07:51:05 | 000,203,125 | ---- | C] () -- C:\WINDOWS\hpwins19.dat

[2010/08/14 07:51:04 | 000,000,997 | R--- | C] () -- C:\WINDOWS\hpwmdl19.dat

[2010/08/14 07:28:05 | 000,100,322 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\klubbin 06.08

[2010/08/14 06:46:04 | 000,061,440 | ---- | C] () -- C:\Dokumente und Einstellungen\MSC\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010/08/10 15:07:04 | 001,498,560 | ---- | C] () -- C:\WINDOWS\System32\igkrng400.bin

[2010/08/10 14:40:45 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll

[2010/08/10 14:40:45 | 000,262,216 | ---- | C] () -- C:\WINDOWS\System32\IPTests.dll

[2010/08/10 14:40:45 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll

[2010/08/10 11:23:23 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2010/08/10 11:22:15 | 000,147,608 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2010/08/10 10:34:55 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2010/08/10 10:30:03 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2010/05/25 03:57:38 | 002,860,384 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll

[2008/04/14 01:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin

[2006/12/31 00:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat

[2003/10/22 01:04:08 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\cmll10sx.dll

[2001/11/14 06:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll

[2001/08/18 07:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin

[2001/08/18 07:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat

[2001/08/18 07:00:00 | 000,449,492 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat

[2001/08/18 07:00:00 | 000,433,138 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat

[2001/08/18 07:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat

[2001/08/18 07:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat

[2001/08/18 07:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat

[2001/08/18 07:00:00 | 000,080,948 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat

[2001/08/18 07:00:00 | 000,068,094 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat

[2001/08/18 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin

[2001/08/18 07:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat

[2001/08/18 07:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat

[2001/08/18 07:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

[2001/08/18 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

[2000/07/14 18:00:00 | 000,030,720 | ---- | C] () -- C:\WINDOWS\regtlib.exe

[1996/04/03 14:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys

 
 ========== LOP Check ==========

 

[2012/04/27 10:56:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Abep

[2011/03/27 11:45:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Canneverbe Limited

[2013/01/21 10:42:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Dropbox

[2010/08/13 05:25:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\DVDVideoSoftIEHelpers

[2011/10/01 10:11:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\elsterformular

[2011/12/28 04:17:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\FileOpen

[2012/12/28 06:08:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\FileZilla

[2013/01/07 09:09:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\GlarySoft

[2012/10/24 04:52:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\gtk-2.0

[2013/01/07 09:08:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\JAM Software

[2010/09/09 05:02:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\mresreg

[2010/08/11 03:38:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\OpenOffice.org

[2011/02/08 15:48:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Opera

[2011/01/25 17:03:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\SmartTools

[2013/01/22 11:52:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Spotify

[2011/06/04 07:21:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\TeamViewer

[2011/01/12 14:11:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Teleca

[2010/08/29 10:29:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Tobit

[2012/04/24 09:00:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MSC\Anwendungsdaten\Ypeb

[2011/01/06 12:25:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software

[2011/03/27 11:45:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited

[2010/11/21 09:47:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CSS Group

[2013/01/07 09:17:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular

[2011/11/07 07:08:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FileOpen

[2010/12/28 07:11:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance

[2011/03/28 01:02:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

[2011/06/06 11:52:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2013/01/22 10:57:34 | 000,000,302 | ---- | M] () -- C:\WINDOWS\Tasks\GlaryInitialize.job

[2013/01/22 10:57:43 | 000,000,296 | ---- | M] () -- C:\WINDOWS\Tasks\PMTask.job

[2013/01/22 11:07:02 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job

 
 ========== Purity Check ==========

 

 

 
 ========== Alternate Data Streams ==========

 

@Alternate Data Stream - 648 bytes -> C:\WINDOWS\System32\drivers\qwzmmfyw.sys:changelist

@Alternate Data Stream - 146 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0FF263E8

< End of report >

--- --- ---

die extras.txt finde ich leider gar nicht, auch nicht über die suchfunktion

ich habe den scan nochmal durchgeführt, kann lediglich noch mit einer sysiclog.txt dienen... habe ich was falsch gemacht?

ich habe den scan nochmal durchgeführt, kann lediglich noch mit einer sysiclog.txt dienen... habe ich was falsch gemacht?

ich habe den scan nochmal durchgeführt, kann lediglich noch mit einer sysiclog.txt dienen... habe ich was falsch gemacht?

hi
erst mal dies:
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

:OTL

O4 - Startup: C:\Dokumente und Einstellungen\MSC\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)

O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)

[2013/01/23 04:02:17 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad

[2013/01/23 04:02:14 | 000,002,909 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js

[2013/01/23 04:02:14 | 000,000,780 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\runctf.lnk

[2013/01/23 03:57:16 | 000,000,780 | ---- | M] () -- C:\Dokumente und Einstellungen\MSC\Startmenü\Programme\Autostart\runctf.lnk

[2013/01/22 12:31:56 | 000,182,784 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\MSC\wgsdgsdgdsgsd.exe

:Files

:Commands

[EMPTYFLASH] 

[emptytemp]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Hallo,

ich hab zu danken.

Rechner läuft schon mal wieder

Upload hat geklappt, anbei die log Datei:

========== OTL ==========
C:\Dokumente und Einstellungen\MSC\Startmenü\Programme\Autostart\runctf.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\runctf.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js moved successfully.
File C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\runctf.lnk not found.
File C:\Dokumente und Einstellungen\MSC\Startmenü\Programme\Autostart\runctf.lnk not found.
C:\Dokumente und Einstellungen\MSC\wgsdgsdgdsgsd.exe moved successfully.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 15282769 bytes

User: MSC
->Temp folder emptied: 2531843 bytes
->Temporary Internet Files folder emptied: 74358913 bytes
->Java cache emptied: 2027049 bytes
->Opera cache emptied: 69155347 bytes
->Flash cache emptied: 1630 bytes

User: NetworkService
->Temp folder emptied: 2139370 bytes
->Temporary Internet Files folder emptied: 1186675 bytes

Total Flash Files Cleaned = 159.00 mb

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: MSC
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9613416 bytes

Total Files Cleaned = 9.00 mb

OTLPE by OldTimer - Version 3.1.48.0 log created on 01232013_134756

Files\Folders moved on Reboot...
File\Folder X:\I386\SYSTEM32\RUNDLL32.EXE not found!

Registry entries deleted on Reboot...

danke fürs hochladen
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

so, combifix auch durchgezogen, anbei die log, vielen dank!!

Combofix Logfile:

Code:

ComboFix 13-01-23.01 - MSC 23.01.2013  14:19:37.1.1 - x86

ausgeführt von:: c:\dokumente und einstellungen\MSC\Desktop\ComboFix.exe

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\emorhc.pad

c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-12-23 bis 2013-01-23  ))))))))))))))))))))))))))))))

.

.

2013-01-23 18:47 . 2011-07-13 02:55        2237440        ----a-r-        C:\OTLPE.exe

2013-01-23 18:47 . 2013-01-23 12:56        --------        d-----w-        C:\_OTL

2013-01-23 12:52 . 2013-01-23 12:52        29904        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\MpKsl9bd1f6ba.sys

2013-01-23 09:19 . 2013-01-23 12:52        60872        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\offreg.dll

2013-01-23 09:02 . 2013-01-23 18:28        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2013-01-22 16:04 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\mpengine.dll

2013-01-20 01:24 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2013-01-11 13:07 . 2013-01-11 13:07        --------        d-----w-        c:\dokumente und einstellungen\MSC\Lokale Einstellungen\Anwendungsdaten\Google

2013-01-11 13:07 . 2013-01-11 13:08        --------        d-----w-        c:\programme\Google

2013-01-11 13:05 . 2013-01-11 13:43        74248        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-01-11 13:05 . 2013-01-11 13:43        697864        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-01-11 10:19 . 2013-01-23 12:54        --------        d-----w-        c:\dokumente und einstellungen\MSC\Lokale Einstellungen\Anwendungsdaten\Spotify

2013-01-11 10:19 . 2013-01-23 13:07        --------        d-----w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Spotify

2013-01-07 13:41 . 2013-01-07 13:41        --------        d-----w-        C:\temp

2013-01-07 12:23 . 2013-01-07 12:23        --------        d-----w-        c:\programme\Dropbox

2012-12-28 11:01 . 2012-12-28 11:01        --------        d-----w-        c:\programme\CCleaner

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-16 12:23 . 2008-04-14 05:50        290560        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-14 15:49 . 2012-10-19 16:48        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-11-13 11:55 . 2008-04-14 05:23        1866496        ------w-        c:\windows\system32\win32k.sys

2012-11-06 02:01 . 2008-04-14 05:52        1371648        ------w-        c:\windows\system32\msxml6.dll

2012-11-02 02:02 . 2008-04-14 05:52        375296        ------w-        c:\windows\system32\dpnet.dll

2012-11-01 12:17 . 2008-04-14 05:53        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-11-01 12:17 . 2008-04-14 05:52        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-11-01 12:17 . 2008-04-14 05:52        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-11-01 00:35 . 2008-04-14 05:25        385024        ------w-        c:\windows\system32\html.iec

2006-09-26 01:44        62464        --sh--r-        c:\windows\system32\sevLock.dll

2003-08-12 15:47        165376        --sh--r-        c:\windows\system32\VBEx32.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2008-11-02 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-07-13 17418928]

"Spotify"="c:\dokumente und einstellungen\MSC\Anwendungsdaten\Spotify\Spotify.exe" [2013-01-11 7880664]

"Spotify Web Helper"="c:\dokumente und einstellungen\MSC\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe" [2013-01-11 1199576]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TrackPointSrv"="tp4mon.exe" [2008-04-14 82944]

"TpShocks"="TpShocks.exe" [2009-12-11 337256]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-02-05 141336]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-02-05 173592]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-02-05 142360]

"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-05-14 487424]

"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2010-08-24 517480]

"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352]

"TPFanControl"="c:\programme\TPFanControl\TPFanControl.exe" [2010-04-23 154112]

"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-10-24 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-01-16 421736]

"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-09-12 947176]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Opera\\opera.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Dokumente und Einstellungen\\MSC\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

"c:\\Dokumente und Einstellungen\\MSC\\Anwendungsdaten\\Spotify\\spotify.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

.

R1 cbfdawnr;cbfdawnr;c:\windows\system32\drivers\cbfdawnr.sys [x]

R1 inqmmfdx;inqmmfdx;c:\windows\system32\drivers\inqmmfdx.sys [x]

R1 jekblibh;jekblibh;c:\windows\system32\drivers\jekblibh.sys [x]

R1 qwzmmfyw;qwzmmfyw;c:\windows\system32\drivers\qwzmmfyw.sys [x]

R2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [x]

R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [x]

R3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\DRIVERS\s1018bus.sys [x]

R3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1018mdfl.sys [x]

R3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1018mdm.sys [x]

R3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1018mgmt.sys [x]

R3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1018nd5.sys [x]

R3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1018obex.sys [x]

R3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1018unic.sys [x]

R3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\DRIVERS\s115bus.sys [x]

R3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s115mdfl.sys [x]

R3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s115mdm.sys [x]

R3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s115mgmt.sys [x]

R3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s115obex.sys [x]

S0 DozeHDD;DozeHDD;c:\windows\System32\DRIVERS\DozeHDD.sys [x]

S0 TPDIGIMN;TPDIGIMN;c:\windows\System32\DRIVERS\ApsHM86.sys [x]

S1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\DRIVERS\smiif32.sys [x]

S1 MpKsl9bd1f6ba;MpKsl9bd1f6ba;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\MpKsl9bd1f6ba.sys [x]

S1 tvtumon;tvtumon;c:\windows\system32\DRIVERS\tvtumon.sys [x]

S2 DozeSvc;Lenovo Doze Mode Service;c:\programme\ThinkPad\Utilities\DOZESVC.EXE [x]

S2 FileOpenManagerSvc;FileOpen Manager Service;c:\programme\FileOpen\Services\FileOpenManagerSvc32.exe [x]

S2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [x]

S2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [x]

S2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe [x]

S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [x]

S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\DRIVERS\teamviewervpn.sys [x]

S3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\DRIVERS\Tvti2c.sys [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - MPKSL9BD1F6BA

*Deregistered* - FileOpenWebPublisherScreenHookDriver

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-01-11 13:17        1606760        ----a-w-        c:\programme\Google\Chrome\Application\24.0.1312.52\Installer\setup.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-01-22 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-01-11 13:43]

.

2013-01-08 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2013-01-23 c:\windows\Tasks\GlaryInitialize.job

- c:\programme\Glary Utilities\initialize.exe [2010-08-19 00:22]

.

2013-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2013-01-11 13:07]

.

2013-01-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2013-01-11 13:07]

.

2013-01-23 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job

- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-09-12 15:25]

.

2013-01-23 c:\windows\Tasks\PMTask.job

- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2010-09-15 23:28]

.

2013-01-23 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2010-08-15 20:18]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\MSC\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm

IE: Senden an Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 192.168.2.1

DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxp://www.lidl-fotos.de/ips-opdata/layout/lidl02/objects/jordan.cab

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

SafeBoot-Wdf01000.sys

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-01-23 14:24

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2013-01-23  14:26:39

ComboFix-quarantined-files.txt  2013-01-23 13:26

.

Vor Suchlauf: 12 Verzeichnis(se), 11.873.026.048 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 12.140.859.392 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noexecute=alwaysoff

.

- - End Of File - - 4DA29549D9EB0B4650BCD3D9BD216638

--- --- ---

start programme zubehör editor, bitte reinkopieren:

Killall::
Rootkit::
C:\WINDOWS\system32\drivers\qwzmmfyw.sys
Driver::
qwzmmfyw

Datei speichern unter, Dateityp, alle Dateien, Ort, wo sich Combofix.exe befindet.
Name:
cfscript.txt

ziehe Cfscript auf Combofix, programm startet, log posten.

so, das habe ich nun auch erledigt:

Combofix Logfile:

Code:

ComboFix 13-01-23.01 - MSC 23.01.2013  15:40:34.2.1 - x86

ausgeführt von:: c:\dokumente und einstellungen\MSC\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\MSC\Desktop\cfscript.txt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\prefs.js

c:\windows\EventSystem.log

c:\windows\wininit.ini

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_qwzmmfyw

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-12-23 bis 2013-01-23  ))))))))))))))))))))))))))))))

.

.

2013-01-23 18:47 . 2011-07-13 02:55        2237440        ----a-r-        C:\OTLPE.exe

2013-01-23 18:47 . 2013-01-23 12:56        --------        d-----w-        C:\_OTL

2013-01-23 14:53 . 2013-01-23 14:53        29904        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\MpKsl9f57e69a.sys

2013-01-23 14:51 . 2013-01-23 14:51        60872        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\offreg.dll

2013-01-23 12:52 . 2013-01-23 12:52        29904        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\MpKsl9bd1f6ba.sys

2013-01-23 09:02 . 2013-01-23 18:28        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2013-01-22 16:04 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\mpengine.dll

2013-01-20 01:24 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2013-01-11 13:07 . 2013-01-11 13:07        --------        d-----w-        c:\dokumente und einstellungen\MSC\Lokale Einstellungen\Anwendungsdaten\Google

2013-01-11 13:07 . 2013-01-11 13:08        --------        d-----w-        c:\programme\Google

2013-01-11 13:05 . 2013-01-11 13:43        74248        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-01-11 13:05 . 2013-01-11 13:43        697864        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-01-11 10:19 . 2013-01-23 12:54        --------        d-----w-        c:\dokumente und einstellungen\MSC\Lokale Einstellungen\Anwendungsdaten\Spotify

2013-01-11 10:19 . 2013-01-23 13:07        --------        d-----w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Spotify

2013-01-07 13:41 . 2013-01-07 13:41        --------        d-----w-        C:\temp

2013-01-07 12:23 . 2013-01-07 12:23        --------        d-----w-        c:\programme\Dropbox

2012-12-28 11:01 . 2012-12-28 11:01        --------        d-----w-        c:\programme\CCleaner

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-16 12:23 . 2008-04-14 05:50        290560        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-14 15:49 . 2012-10-19 16:48        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-11-13 11:55 . 2008-04-14 05:23        1866496        ------w-        c:\windows\system32\win32k.sys

2012-11-06 02:01 . 2008-04-14 05:52        1371648        ------w-        c:\windows\system32\msxml6.dll

2012-11-02 02:02 . 2008-04-14 05:52        375296        ------w-        c:\windows\system32\dpnet.dll

2012-11-01 12:17 . 2008-04-14 05:53        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-11-01 12:17 . 2008-04-14 05:52        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-11-01 12:17 . 2008-04-14 05:52        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-11-01 00:35 . 2008-04-14 05:25        385024        ------w-        c:\windows\system32\html.iec

2006-09-26 01:44        62464        --sh--r-        c:\windows\system32\sevLock.dll

2003-08-12 15:47        165376        --sh--r-        c:\windows\system32\VBEx32.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2008-11-02 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-07-13 17418928]

"Spotify"="c:\dokumente und einstellungen\MSC\Anwendungsdaten\Spotify\Spotify.exe" [2013-01-11 7880664]

"Spotify Web Helper"="c:\dokumente und einstellungen\MSC\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe" [2013-01-11 1199576]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TrackPointSrv"="tp4mon.exe" [2008-04-14 82944]

"TpShocks"="TpShocks.exe" [2009-12-11 337256]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-02-05 141336]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-02-05 173592]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-02-05 142360]

"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-05-14 487424]

"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2010-08-24 517480]

"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352]

"TPFanControl"="c:\programme\TPFanControl\TPFanControl.exe" [2010-04-23 154112]

"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-10-24 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-01-16 421736]

"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-09-12 947176]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Opera\\opera.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Dokumente und Einstellungen\\MSC\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

"c:\\Dokumente und Einstellungen\\MSC\\Anwendungsdaten\\Spotify\\spotify.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

.

R0 DozeHDD;DozeHDD;c:\windows\system32\drivers\DOZEHDD.SYS [15.09.2010 09:18 24304]

R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [09.10.2009 11:10 20520]

R1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\drivers\smiif32.sys [15.09.2010 09:24 13480]

R1 MpKsl9f57e69a;MpKsl9f57e69a;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\MpKsl9f57e69a.sys [23.01.2013 15:53 29904]

R1 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [09.05.2008 04:50 46144]

R2 DozeSvc;Lenovo Doze Mode Service;c:\programme\ThinkPad\Utilities\DOZESVC.EXE [15.09.2010 09:18 132456]

R2 FileOpenManagerSvc;FileOpen Manager Service;c:\programme\FileOpen\Services\FileOpenManagerSvc32.exe [21.10.2011 15:08 213376]

R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [15.09.2010 09:18 53248]

R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [14.05.2008 15:25 520192]

R2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe [09.05.2008 04:50 253952]

R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06.01.2011 18:04 27632]

R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [27.07.2011 10:08 25088]

R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [22.02.2008 15:54 37312]

S1 cbfdawnr;cbfdawnr;\??\c:\windows\system32\drivers\cbfdawnr.sys --> c:\windows\system32\drivers\cbfdawnr.sys [?]

S1 inqmmfdx;inqmmfdx;\??\c:\windows\system32\drivers\inqmmfdx.sys --> c:\windows\system32\drivers\inqmmfdx.sys [?]

S1 jekblibh;jekblibh;\??\c:\windows\system32\drivers\jekblibh.sys --> c:\windows\system32\drivers\jekblibh.sys [?]

S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 12:28 160944]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [06.01.2011 18:04 13224]

S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [06.01.2011 17:58 86824]

S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [06.01.2011 17:58 15016]

S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [06.01.2011 17:58 114728]

S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [06.01.2011 17:58 106208]

S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [06.01.2011 17:58 26024]

S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [06.01.2011 17:58 104744]

S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [06.01.2011 17:58 109864]

S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [12.01.2011 20:11 83208]

S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [12.01.2011 20:11 15112]

S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [12.01.2011 20:11 108680]

S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [12.01.2011 20:11 100488]

S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [12.01.2011 20:11 98568]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - MPKSL9F57E69A

*NewlyCreated* - WS2IFSL

*Deregistered* - FileOpenWebPublisherScreenHookDriver

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-01-11 13:17        1606760        ----a-w-        c:\programme\Google\Chrome\Application\24.0.1312.52\Installer\setup.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-01-23 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-01-11 13:43]

.

2013-01-08 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2013-01-23 c:\windows\Tasks\GlaryInitialize.job

- c:\programme\Glary Utilities\initialize.exe [2010-08-19 00:22]

.

2013-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2013-01-11 13:07]

.

2013-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2013-01-11 13:07]

.

2013-01-23 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job

- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-09-12 15:25]

.

2013-01-23 c:\windows\Tasks\PMTask.job

- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2010-09-15 23:28]

.

2013-01-23 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2010-08-15 20:18]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\MSC\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm

IE: Senden an Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 192.168.2.1

DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxp://www.lidl-fotos.de/ips-opdata/layout/lidl02/objects/jordan.cab

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-01-23 15:53

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(5832)

c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\ibmpmsvc.exe

c:\programme\Microsoft Security Client\MsMpEng.exe

c:\programme\Intel\WiFi\bin\S24EvMon.exe

c:\windows\system32\acs.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\programme\Intel\WiFi\bin\EvtEng.exe

c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\wbem\unsecapp.exe

c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe

c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe

c:\windows\system32\TpKmpSVC.exe

c:\programme\Lenovo\Rescue and Recovery\rrservice.exe

c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

c:\windows\system32\tp4mon.exe

c:\windows\system32\TpShocks.exe

c:\windows\system32\igfxsrvc.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\igfxext.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\programme\iPod\bin\iPodService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2013-01-23  15:57:07 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2013-01-23 14:57

ComboFix2.txt  2013-01-23 13:26

.

Vor Suchlauf: 14 Verzeichnis(se), 12.150.616.064 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 12.058.865.664 Bytes frei

.

- - End Of File - - F370B53B5EBDBC0468797D5814B1F282

--- --- ---

hi
lade:
http://download.bleepingcomputer.com...xp/winmgmt.reg
doppelklick, Nachfrage bestätigen, neustarten.

dann:
Hi,
start programme zubehör, kopiere rein:

Killall::
Rootkit::
c:\windows\system32\drivers\cbfdawnr.sys
c:\windows\system32\drivers\inqmmfdx.sys
c:\windows\system32\drivers\jekblibh.sys

Datei speichern unter, typ alle Dateien, name:
cfscript.txt
ort, dort wo sich combofix.exe befindet.
ziehe cfscript auf Combofix, programm startet log posten

hallo,

und der neue log, vielen DANK!!

Combofix Logfile:

Code:

ComboFix 13-01-23.01 - MSC 23.01.2013  19:01:47.3.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3062.2363 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\MSC\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\MSC\Desktop\cfscript.txt

AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_cbfdawnr

-------\Service_inqmmfdx

-------\Service_jekblibh

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-12-23 bis 2013-01-23  ))))))))))))))))))))))))))))))

.

.

2013-01-23 18:47 . 2011-07-13 02:55        2237440        ----a-r-        C:\OTLPE.exe

2013-01-23 18:47 . 2013-01-23 12:56        --------        d-----w-        C:\_OTL

2013-01-23 18:15 . 2013-01-23 18:15        29904        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\MpKsl8a21bd3a.sys

2013-01-23 18:14 . 2013-01-23 18:14        60872        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\offreg.dll

2013-01-23 17:51 . 2013-01-23 17:51        29904        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\MpKsl2af6fc63.sys

2013-01-23 09:02 . 2013-01-23 18:28        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2013-01-22 16:04 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\mpengine.dll

2013-01-20 01:24 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2013-01-11 13:07 . 2013-01-11 13:07        --------        d-----w-        c:\dokumente und einstellungen\MSC\Lokale Einstellungen\Anwendungsdaten\Google

2013-01-11 13:07 . 2013-01-11 13:08        --------        d-----w-        c:\programme\Google

2013-01-11 13:05 . 2013-01-11 13:43        74248        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-01-11 13:05 . 2013-01-11 13:43        697864        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-01-11 10:19 . 2013-01-23 14:53        --------        d-----w-        c:\dokumente und einstellungen\MSC\Lokale Einstellungen\Anwendungsdaten\Spotify

2013-01-11 10:19 . 2013-01-23 17:54        --------        d-----w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Spotify

2013-01-07 13:41 . 2013-01-07 13:41        --------        d-----w-        C:\temp

2013-01-07 12:23 . 2013-01-07 12:23        --------        d-----w-        c:\programme\Dropbox

2012-12-28 11:01 . 2012-12-28 11:01        --------        d-----w-        c:\programme\CCleaner

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-16 12:23 . 2008-04-14 05:50        290560        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-14 15:49 . 2012-10-19 16:48        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-11-13 11:55 . 2008-04-14 05:23        1866496        ------w-        c:\windows\system32\win32k.sys

2012-11-06 02:01 . 2008-04-14 05:52        1371648        ------w-        c:\windows\system32\msxml6.dll

2012-11-02 02:02 . 2008-04-14 05:52        375296        ------w-        c:\windows\system32\dpnet.dll

2012-11-01 12:17 . 2008-04-14 05:53        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-11-01 12:17 . 2008-04-14 05:52        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-11-01 12:17 . 2008-04-14 05:52        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-11-01 00:35 . 2008-04-14 05:25        385024        ------w-        c:\windows\system32\html.iec

2006-09-26 01:44        62464        --sh--r-        c:\windows\system32\sevLock.dll

2003-08-12 15:47        165376        --sh--r-        c:\windows\system32\VBEx32.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2008-11-02 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-07-13 17418928]

"Spotify"="c:\dokumente und einstellungen\MSC\Anwendungsdaten\Spotify\Spotify.exe" [2013-01-11 7880664]

"Spotify Web Helper"="c:\dokumente und einstellungen\MSC\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe" [2013-01-11 1199576]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TrackPointSrv"="tp4mon.exe" [2008-04-14 82944]

"TpShocks"="TpShocks.exe" [2009-12-11 337256]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-02-05 141336]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-02-05 173592]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-02-05 142360]

"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-05-14 487424]

"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2010-08-24 517480]

"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352]

"TPFanControl"="c:\programme\TPFanControl\TPFanControl.exe" [2010-04-23 154112]

"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-10-24 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-01-16 421736]

"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-09-12 947176]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Opera\\opera.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Dokumente und Einstellungen\\MSC\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

"c:\\Dokumente und Einstellungen\\MSC\\Anwendungsdaten\\Spotify\\spotify.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

.

R0 DozeHDD;DozeHDD;c:\windows\system32\drivers\DOZEHDD.SYS [15.09.2010 09:18 24304]

R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [09.10.2009 11:10 20520]

R1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\drivers\smiif32.sys [15.09.2010 09:24 13480]

R1 MpKsl8a21bd3a;MpKsl8a21bd3a;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{087CAFF2-FC3C-4188-81DF-64B07F34351F}\MpKsl8a21bd3a.sys [23.01.2013 19:15 29904]

R1 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [09.05.2008 04:50 46144]

R2 DozeSvc;Lenovo Doze Mode Service;c:\programme\ThinkPad\Utilities\DOZESVC.EXE [15.09.2010 09:18 132456]

R2 FileOpenManagerSvc;FileOpen Manager Service;c:\programme\FileOpen\Services\FileOpenManagerSvc32.exe [21.10.2011 15:08 213376]

R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [15.09.2010 09:18 53248]

R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [14.05.2008 15:25 520192]

R2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe [09.05.2008 04:50 253952]

R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [06.01.2011 18:04 27632]

R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [27.07.2011 10:08 25088]

R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [22.02.2008 15:54 37312]

S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 12:28 160944]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [06.01.2011 18:04 13224]

S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [06.01.2011 17:58 86824]

S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [06.01.2011 17:58 15016]

S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [06.01.2011 17:58 114728]

S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [06.01.2011 17:58 106208]

S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [06.01.2011 17:58 26024]

S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [06.01.2011 17:58 104744]

S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [06.01.2011 17:58 109864]

S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [12.01.2011 20:11 83208]

S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [12.01.2011 20:11 15112]

S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [12.01.2011 20:11 108680]

S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [12.01.2011 20:11 100488]

S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [12.01.2011 20:11 98568]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - MPKSL8A21BD3A

*Deregistered* - FileOpenWebPublisherScreenHookDriver

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-01-11 13:17        1606760        ----a-w-        c:\programme\Google\Chrome\Application\24.0.1312.52\Installer\setup.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-01-23 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-01-11 13:43]

.

2013-01-08 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2013-01-23 c:\windows\Tasks\GlaryInitialize.job

- c:\programme\Glary Utilities\initialize.exe [2010-08-19 00:22]

.

2013-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2013-01-11 13:07]

.

2013-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2013-01-11 13:07]

.

2013-01-23 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job

- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-09-12 15:25]

.

2013-01-23 c:\windows\Tasks\PMTask.job

- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2010-09-15 23:28]

.

2013-01-23 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2010-08-15 20:18]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\MSC\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm

IE: Senden an Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 192.168.2.1

DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxp://www.lidl-fotos.de/ips-opdata/layout/lidl02/objects/jordan.cab

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-01-23 19:16

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(6044)

c:\dokumente und einstellungen\MSC\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\ibmpmsvc.exe

c:\programme\Microsoft Security Client\MsMpEng.exe

c:\programme\Intel\WiFi\bin\S24EvMon.exe

c:\windows\system32\acs.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\programme\Intel\WiFi\bin\EvtEng.exe

c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\wbem\unsecapp.exe

c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe

c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe

c:\windows\system32\TpKmpSVC.exe

c:\programme\Lenovo\Rescue and Recovery\rrservice.exe

c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

c:\windows\system32\tp4mon.exe

c:\windows\system32\TpShocks.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\igfxsrvc.exe

c:\windows\system32\igfxext.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\programme\iPod\bin\iPodService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2013-01-23  19:20:45 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2013-01-23 18:20

ComboFix2.txt  2013-01-23 14:57

ComboFix3.txt  2013-01-23 13:26

.

Vor Suchlauf: 13 Verzeichnis(se), 12.029.362.176 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 12.019.654.656 Bytes frei

.

- - End Of File - - EA9225823147F7B1E73FE4B0DD6A2578

--- --- ---

Hallo Markus,

zunächst nochmal vielen Dank für Deine Hilfe!
Möchte mal freundlich nachfragen, ob Du mir den nächsten Schritt nennen kannst, den ich machen muss,

Danke

Würde mich sehr freuen wenn es weiter geht :-)

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.24.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
MSC :: PC [Administrator]

24.01.2013 13:46:56
mbam-log-2013-01-24 (13-46-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 294824
Laufzeit: 1 Stunde(n), 10 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\MSC\desktop\Cryptload\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\01232013_134756\C_Dokumente und Einstellungen\MSC\wgsdgsdgdsgsd.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)