OK, der Virenscanner meckert immernoch den Masterbootrecord von Volume 0 und den Arbeitsspeicher mit W32/Mebroot an... Und ein Prozess temp\thlj.tmp\svchost.exe fängt im DOS Fenster an den Drucker zu beschicken... Ich habe diesen Prozess gestoppt und C:\temp soweit wie möglich geleert. Es befindet sich darin ein (versteckter?) Temporary Internet Files Ordner, der sich nicht löschen lässt, diesen habe ich geleert.
Hier die gewünschten Logs: Code:
ComboFix 10-06-07.03 - Administrator 08.06.2010 1:09.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.690 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CFScript.txt
AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
Infizierte Kopie von c:\windows\system32\drivers\dmload.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-05-07 bis 2010-06-07 ))))))))))))))))))))))))))))))
.
2010-06-07 23:17 . 2010-06-07 23:17 -------- d-----w- c:\temp\sv148.tmp
2010-06-07 21:33 . 2010-06-07 23:13 -------- d-----w- c:\temp\icyp.tmp
2010-06-07 10:23 . 2010-06-07 10:23 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\ESET
2010-06-07 10:19 . 2010-06-07 10:19 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET
2010-06-07 10:16 . 2010-06-07 10:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2010-06-07 09:57 . 2010-06-07 10:17 -------- d-----w- c:\programme\ESET Antivirus
2010-06-07 09:15 . 2010-06-07 09:23 -------- d-----w- c:\temp\hsperfdata_SYSTEM
2010-06-07 09:03 . 2010-06-07 19:20 -------- d-----w- c:\temp\hsperfdata_Administrator
2010-06-07 08:59 . 2010-06-07 23:13 -------- d-----w- c:\temp\Google Toolbar
2010-06-07 01:01 . 2010-06-07 05:27 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-06-07 00:00 . 2010-06-07 00:00 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\PrivacIE
2010-06-07 00:00 . 2010-06-07 00:00 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2010-06-06 20:33 . 2010-06-06 20:58 -------- d-----w- C:\CoFi3249C
2010-06-06 20:33 . 2010-06-06 20:33 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Malwarebytes
2010-06-05 13:58 . 2010-06-05 14:17 -------- d-----w- C:\CoFi
2010-06-05 04:20 . 2010-06-05 04:20 -------- d-----w- C:\_OTL
2010-06-05 03:06 . 2010-06-06 20:54 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-06-05 02:36 . 2010-06-05 02:36 -------- d-----w- c:\programme\trend micro
2010-06-05 02:36 . 2010-06-05 02:36 -------- d-----w- C:\rsit
2010-06-04 23:29 . 2010-06-04 23:29 -------- d-----w- c:\windows\system32\nvapps.xml
2010-06-04 20:43 . 2010-06-04 20:43 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2010-06-04 20:31 . 2010-06-04 21:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
2010-05-22 20:24 . 2010-05-22 20:26 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
2010-05-22 20:22 . 2010-05-22 20:33 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
2010-05-22 20:22 . 2010-05-22 20:22 15326 ----a-w- c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat
2010-05-22 20:22 . 2010-05-21 08:49 5652144 ----a-w- c:\windows\system32\SpoonUninstall.exe
2010-05-22 20:22 . 2010-05-22 20:22 -------- d-----w- c:\programme\dBpoweramp
2010-05-15 09:54 . 2010-05-15 10:08 -------- d-----w- c:\programme\FormatFactory
2010-05-11 08:43 . 2010-05-11 09:11 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
2010-05-11 08:43 . 2010-05-11 08:43 -------- d-----w- c:\programme\Downloader Qobuz
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-07 23:17 . 2007-06-08 13:20 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2
2010-06-07 23:08 . 2007-05-21 13:36 -------- d-----w- c:\programme\UltraVNC
2010-06-07 09:29 . 2010-06-06 16:29 112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat
2010-05-08 22:35 . 2009-04-07 20:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss
2010-04-29 13:39 . 2010-02-21 21:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-02-21 21:03 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-07 19:09 . 2010-04-07 19:09 95872 ----a-w- c:\windows\system32\drivers\epfwtdir.sys
2010-04-07 19:08 . 2010-04-07 19:08 114984 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2010-04-07 19:05 . 2010-04-07 19:05 140216 ----a-w- c:\windows\system32\drivers\eamon.sys
2010-04-01 06:15 . 2004-08-04 12:00 63580 ----a-w- c:\windows\system32\perfc007.dat
2010-04-01 06:15 . 2004-08-04 12:00 391000 ----a-w- c:\windows\system32\perfh007.dat
2010-03-10 06:15 . 2004-08-04 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-06-05_14.14.05 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-07 10:17 . 2010-06-07 10:17 10134 c:\windows\Installer\{02C23509-87A8-4CFA-B6B9-713A078404AA}\callmsi.exe
+ 2010-06-07 10:17 . 2010-06-07 10:17 963072 c:\windows\Installer\2c884fa.msi
+ 2010-06-07 10:17 . 2010-06-07 10:17 101480 c:\windows\Installer\{02C23509-87A8-4CFA-B6B9-713A078404AA}\egui.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"egui"="c:\programme\ESET Antivirus\egui.exe" [2010-04-07 2145000]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Administrator.MFSRV01\Startmen\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
f Micros-Fidelio - FO Server.lnk - d:\fidelio\program\FOSERVER.EXE [2007-5-22 14167552]
i Micros-Fidelio - Interface.lnk - d:\batch\IFCSTART.BAT [2007-5-21 10929]
NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2005-3-31 180224]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2002-02-15 08:51 24638 ----a-w- c:\windows\system32\PCANotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-18 07:58 40368 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-08-11 18:43 1519616 ----a-w- c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 16:04 2879488 ----a-w- c:\windows\SkyTel.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\UltraVNC\\winvnc.exe"=
"c:\\WINDOWS\\SYSTEM32\\WUAUCLT.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\WINAW32.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"=
"d:\\fidelio\\program\\Ifc7.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"38293:TCP"= 38293:TCP:IP PORT 38293
"1521:TCP"= 1521:TCP:IP PORT 1521
"443:TCP"= 443:TCP:IP PORT 443
"1621:TCP"= 1621:TCP:IP PORT 1621
"5900:TCP"= 5900:TCP:IP PORT 5900
"4400:TCP"= 4400:TCP:IP PORT 4400
"2967:TCP"= 2967:TCP:IP PORT 2967
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [07.04.2010 21:08 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [07.04.2010 21:09 95872]
R2 ekrn;ESET Service;c:\programme\ESET Antivirus\ekrn.exe [07.04.2010 21:08 810120]
R2 G4AAA;HospiX Entry - AAA Service;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4Cti;HospiX Entry - PBX Interface;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4DataImport;HospiX Entry - Call data import;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4FOC;HospiX Entry - PMS Connector;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4ServiceControl;HospiX Entry - Service Controller;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2007 15:36 6016]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2007 16:20 37568]
R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [22.05.2007 14:12 2944]
R3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\drivers\BrParImg.sys [22.05.2007 14:13 3168]
R3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\drivers\BrParwdm.sys [22.05.2007 14:12 39808]
R3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [22.05.2007 14:12 60416]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2007 16:20 444416]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 23:34 135664]
.
Inhalt des "geplante Tasks" Ordners
2010-06-07 c:\windows\Tasks\Fidelio Folio spool fo_data Sicherung.job
- c:\windows\system32\ntbackup.exe [2004-08-04 02:22]
2010-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
2010-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {2E96BB09-6934-4EE0-AEB4-DF2D85E6467C} = 192.168.1.2
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-08 01:17
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85D0F78A]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75f4f28
\Driver\atapi -> atapi.sys @ 0xf7427852
\Driver\iaStor -> iaStor.sys @ 0xf7372184
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x85d75ad0
PacketIndicateHandler -> NDIS.sys @ 0xf726aa0d
SendHandler -> NDIS.sys @ 0xf727eb40
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1BC7FF
malicious code @ sector 0x01D1BC802 !
PE file found in sector at 0x01D1BC818 !
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1606980848-823518204-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,6f,a8,21,0b,c6,97,4a,4a,84,b2,14,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(792)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Symantec\pcAnywhere\awhost32.exe
c:\programme\NDAS\System\ndassvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\BRMFRSMG.EXE
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\OpenOffice.org 2.2\program\soffice.exe
c:\programme\OpenOffice.org 2.2\program\soffice.BIN
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-08 01:22:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-06-07 23:22
ComboFix2.txt 2010-06-06 20:58
ComboFix3.txt 2010-06-05 14:16
Vor Suchlauf: 11 Verzeichnis(se), 23.498.203.136 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 23.516.995.584 Bytes frei
- - End Of File - - 54E7E8E2DC72747240C4FDD9B82066B9 GMER
GMER Logfile:
GMER Logfile:
GMER Logfile:
GMER Logfile: Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-08 01:53:20
Windows 5.1.2600 Service Pack 3
Running: defxt86v.exe; Driver: c:\Temp\pwrdypob.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwAssignProcessToJobObject [0xED0B1610]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwDebugActiveProcess [0xED0B1C10]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwDuplicateObject [0xED0B1730]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwOpenProcess [0xED0B14B0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwOpenThread [0xED0B1570]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwProtectVirtualMemory [0xED0B16D0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetContextThread [0xED0B1690]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetInformationThread [0xED0B1650]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetSecurityObject [0xED0B17D0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendProcess [0xED0B1510]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendThread [0xED0B1590]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateProcess [0xED0B14D0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateThread [0xED0B15D0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwWriteVirtualMemory [0xED0B1750]
---- Kernel code sections - GMER 1.0.15 ----
? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6088360, 0x24526E, 0xE8000020]
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xBAB4F400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBABF3620] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBABF3620]
.protectÿÿÿÿhardlockunknown last code section [0xBABF3400, 0x5126, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xBABF3400, 0x5126, 0xE0000020]
? c:\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
? C:\CoFi23257C\catchme.sys Das System kann den angegebenen Pfad nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\explorer.exe[792] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B8000A
.text C:\WINDOWS\explorer.exe[792] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00BE000A
.text C:\WINDOWS\explorer.exe[792] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B7000C
.text C:\WINDOWS\System32\svchost.exe[1224] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 006E000A
.text C:\WINDOWS\System32\svchost.exe[1224] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 006F000A
.text C:\WINDOWS\System32\svchost.exe[1224] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 006D000C
.text C:\WINDOWS\System32\svchost.exe[1224] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 0068000A
.text C:\WINDOWS\System32\svchost.exe[1224] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 00E3000A
.text C:\Programme\ESET Antivirus\ekrn.exe[1684] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)
Device \Driver\aksusb \Device\0000005b AKSCLASS.SYS (Aladdin Class Driver/Aladdin Knowledge Systems Ltd.)
AttachedDevice \FileSystem\Fastfat \Fat lfsfilt.sys (NDAS LFS Filter/XIMETA, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)
---- EOF - GMER 1.0.15 ---- [/CODE]
--- --- ---
--- --- ---
--- --- ---
--- --- ---
OTL.txt Code:
OTL logfile created on: 08.06.2010 02:04:07 - Run 2
OTL by OldTimer - Version 3.2.5.3 Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.022,00 Mb Total Physical Memory | 648,00 Mb Available Physical Memory | 63,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 21,93 Gb Free Space | 74,87% Space Free | Partition Type: NTFS
Drive D: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 29,29 Gb Total Space | 21,93 Gb Free Space | 74,87% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded
Drive J: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive L: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive Q: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive T: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive U: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive V: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive X: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Drive Y: | 232,88 Gb Total Space | 231,41 Gb Free Space | 99,37% Space Free | Partition Type: NTFS
Drive Z: | 101,56 Gb Total Space | 94,91 Gb Free Space | 93,45% Space Free | Partition Type: NTFS
Computer Name: MFSRV01
Current User Name: Administrator
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
========== Processes (SafeList) ==========
PRC - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
PRC - [2010.04.07 21:08:52 | 000,810,120 | ---- | M] (ESET) -- C:\Programme\ESET Antivirus\ekrn.exe
PRC - [2010.04.07 21:08:30 | 002,145,000 | ---- | M] (ESET) -- C:\Programme\ESET Antivirus\egui.exe
PRC - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) -- C:\Programme\HospiX Entry\g4.exe
PRC - [2008.04.14 04:22:56 | 000,422,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ntvdm.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.14 04:22:38 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe
PRC - [2007.07.20 09:37:44 | 001,567,744 | ---- | M] (Micros-Fidelio (Ireland) Ltd.) -- J:\fidelio\program\Ifc7.exe
PRC - [2007.03.21 22:06:52 | 002,510,848 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.bin
PRC - [2007.03.21 22:06:50 | 002,359,296 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.exe
PRC - [2006.07.14 14:52:44 | 014,167,552 | ---- | M] (Fidelio Research) -- U:\FOSERVER.EXE
PRC - [2005.03.31 02:33:20 | 000,180,224 | ---- | M] (XIMETA, Inc.) -- C:\Programme\NDAS\System\ndasmgmt.exe
PRC - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) -- C:\Programme\NDAS\System\ndassvc.exe
PRC - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE
PRC - [2001.08.18 04:54:46 | 000,032,256 | ---- | M] (Brother Industries, Ltd.) -- C:\WINDOWS\system32\BrmfRsmg.exe
========== Modules (SafeList) ==========
MOD - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
========== Win32 Services (SafeList) ==========
SRV - [2010.04.07 21:13:20 | 000,033,560 | ---- | M] (ESET) [On_Demand | Stopped] -- C:\Programme\ESET Antivirus\EHttpSrv.exe -- (EhttpSrv)
SRV - [2010.04.07 21:08:52 | 000,810,120 | ---- | M] (ESET) [Auto | Running] -- C:\Programme\ESET Antivirus\ekrn.exe -- (ekrn)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti)
SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Running] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA)
SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Running] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc)
SRV - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE -- (awhost32)
========== Driver Services (SafeList) ==========
DRV - [2010.04.07 21:09:48 | 000,095,872 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
DRV - [2010.04.07 21:08:36 | 000,114,984 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2010.04.07 21:05:12 | 000,140,216 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2007.05.21 17:04:24 | 000,057,968 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent)
DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)
DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)
DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor)
DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt)
DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx)
DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi)
DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus)
DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom)
DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv)
DRV - [2002.02.11 10:51:00 | 000,033,496 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST)
DRV - [2001.10.09 10:51:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GERNUWA.SYS -- (Gernuwa)
DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel)
DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg)
DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell)
DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt)
DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
DRV - [2000.09.11 10:51:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
FF - HKLM\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programme\ESET Antivirus\Mozilla Thunderbird [2010.06.07 12:16:42 | 000,000,000 | ---D | M]
O1 HOSTS File: ([2010.06.08 01:16:50 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [egui] C:\Programme\ESET Antivirus\egui.exe (ESET)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f Micros-Fidelio - FO Server.lnk = D:\fidelio\program\FOSERVER.EXE (Fidelio Research)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i Micros-Fidelio - Interface.lnk = D:\batch\IFCSTART.BAT ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2000.05.04 22:24:18 | 000,000,438 | ---- | M] () - V:\AUTOEXEC.NT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 90 Days ==========
[2010.06.08 01:23:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010.06.07 12:23:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\ESET
[2010.06.07 12:19:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET
[2010.06.07 12:16:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
[2010.06.07 11:57:43 | 000,000,000 | ---D | C] -- C:\Programme\ESET Antivirus
[2010.06.07 10:33:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent
[2010.06.07 03:01:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.06.07 03:01:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun
[2010.06.06 22:33:31 | 000,000,000 | ---D | C] -- C:\CoFi3249C
[2010.06.06 22:33:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Malwarebytes
[2010.06.05 16:00:28 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.06.05 15:59:12 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.06.05 15:59:12 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.06.05 15:59:12 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.06.05 15:59:12 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.06.05 15:58:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.06.05 15:58:56 | 000,000,000 | ---D | C] -- C:\CoFi
[2010.06.05 15:58:26 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.06.05 08:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.06.05 06:20:14 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.06.05 05:06:11 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.06.05 04:36:51 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.06.05 04:36:44 | 000,000,000 | ---D | C] -- C:\rsit
[2010.06.05 02:15:29 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
[2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml
[2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.06.04 22:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
[2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
[2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
[2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp
[2010.05.15 11:54:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FFOutput
[2010.05.15 11:54:26 | 000,272,896 | ---- | C] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll
[2010.05.15 11:54:02 | 000,000,000 | ---D | C] -- C:\Programme\FormatFactory
[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
[2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Programme\Downloader Qobuz
[2010.04.07 21:09:48 | 000,095,872 | ---- | C] (ESET) -- C:\WINDOWS\System32\drivers\epfwtdir.sys
[2010.04.07 21:08:36 | 000,114,984 | ---- | C] (ESET) -- C:\WINDOWS\System32\drivers\ehdrv.sys
[2010.04.07 21:05:12 | 000,140,216 | ---- | C] (ESET) -- C:\WINDOWS\System32\drivers\eamon.sys
[2010.04.05 01:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1
[2010.04.05 01:55:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR
[2010.04.05 01:55:13 | 000,000,000 | ---D | C] -- C:\Programme\Linn Download Manager
[2010.04.03 18:54:24 | 000,000,000 | ---D | C] -- C:\Programme\FLAC
[2010.04.03 18:41:50 | 000,000,000 | ---D | C] -- C:\Programme\Exact Audio Copy
========== Files - Modified Within 90 Days ==========
[2010.06.08 02:03:39 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini
[2010.06.08 02:01:58 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.08 02:01:58 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.06.08 02:01:52 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini
[2010.06.08 02:01:47 | 000,000,000 | ---- | M] () -- C:\WINDOWS\hlktmp
[2010.06.08 02:01:45 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.08 02:01:41 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.08 01:55:10 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT
[2010.06.08 01:55:09 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini
[2010.06.08 01:55:02 | 003,782,688 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.06.08 01:18:05 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.06.08 01:17:24 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.06.08 01:16:50 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.06.08 01:08:28 | 000,000,653 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f Micros-Fidelio - FO Server.lnk
[2010.06.08 01:08:28 | 000,000,527 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i Micros-Fidelio - Interface.lnk
[2010.06.08 00:15:16 | 003,704,271 | R--- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
[2010.06.07 19:57:22 | 000,077,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\mbr.exe
[2010.06.07 13:45:40 | 000,001,030 | ---- | M] () -- C:\WINDOWS\tasks\Fidelio Folio spool fo_data Sicherung.job
[2010.06.07 11:29:16 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat
[2010.06.06 18:32:45 | 000,000,000 | ---- | M] () -- C:\debug
[2010.06.05 16:00:33 | 000,000,281 | RHS- | M] () -- C:\boot.ini
[2010.06.05 05:06:15 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.06.05 03:58:32 | 000,824,681 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\RSIT.exe
[2010.06.05 02:46:16 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Rkill.com
[2010.06.05 02:46:16 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\iExpliore.exe
[2010.06.05 02:06:38 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\defxt86v.exe
[2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe
[2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1
[2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls
[2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF
[2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp
[2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2010.05.15 18:39:51 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.26 15:58:12 | 000,256,512 | ---- | M] () -- C:\WINDOWS\PEV.exe
[2010.04.13 23:18:55 | 000,000,515 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f Micros-Fidelio - FO Server.lnk
[2010.04.07 21:09:48 | 000,095,872 | ---- | M] (ESET) -- C:\WINDOWS\System32\drivers\epfwtdir.sys
[2010.04.07 21:08:36 | 000,114,984 | ---- | M] (ESET) -- C:\WINDOWS\System32\drivers\ehdrv.sys
[2010.04.07 21:05:12 | 000,140,216 | ---- | M] (ESET) -- C:\WINDOWS\System32\drivers\eamon.sys
[2010.04.05 01:55:16 | 000,000,902 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk
[2010.04.03 18:54:24 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk
[2010.04.03 18:41:51 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk
[2010.04.01 08:15:45 | 000,897,954 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.01 08:15:45 | 000,391,000 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.01 08:15:45 | 000,380,350 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.01 08:15:45 | 000,063,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.01 08:15:45 | 000,052,764 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
========== Files Created - No Company Name ==========
[2010.06.08 00:15:27 | 003,704,271 | R--- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
[2010.06.07 11:51:52 | 000,001,030 | ---- | C] () -- C:\WINDOWS\tasks\Fidelio Folio spool fo_data Sicherung.job
[2010.06.06 23:04:33 | 000,077,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\mbr.exe
[2010.06.06 18:32:45 | 000,000,000 | ---- | C] () -- C:\debug
[2010.06.06 18:29:19 | 000,000,112 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dTx5EWi3A.dat
[2010.06.05 16:00:33 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.06.05 16:00:29 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010.06.05 15:59:12 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.06.05 15:59:12 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.06.05 15:59:12 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.06.05 15:59:12 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.06.05 15:59:12 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.06.05 04:57:55 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Rkill.com
[2010.06.05 04:34:26 | 000,824,681 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\RSIT.exe
[2010.06.05 02:54:27 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\iExpliore.exe
[2010.06.05 02:25:24 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\defxt86v.exe
[2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp
[2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat
[2010.05.15 18:39:51 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk
[2010.04.05 01:55:16 | 000,000,902 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk
[2010.04.03 18:54:24 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk
[2010.04.03 18:41:51 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk
[2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini
[2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini
[2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll
========== LOP Check ==========
[2009.05.29 23:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Auslogics
[2010.04.05 01:55:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1
[2007.10.19 23:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\cpuid
[2010.05.22 22:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
[2010.05.11 11:11:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
[2010.06.04 23:27:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
[2010.06.07 12:16:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
[2007.05.22 14:18:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RVS
[2010.06.07 13:45:40 | 000,001,030 | ---- | M] () -- C:\WINDOWS\Tasks\Fidelio Folio spool fo_data Sicherung.job
========== Purity Check ==========
< End of report > So, jetzt mal wieder ne Mütze voll Schlaf. "Keeping fingers crossed".
Danke auf jeden Fall, wir scheinen aber noch nicht am Ziel zu sein...
Gruss,
Winfried |