Trojaner-Board - Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab (https://www.trojaner-board.de/88140-google-links-umgeleitet-login-versuchen-email-onlinebanking-stuertzt-firefox-ab.html)

Google links werden umgeleitet; bei Login-Versuchen (email, onlinebanking...) stürtzt firefox ab

Hey habe seit gestern das Problem, dass google sporadisch an falsche Adressen weiter leitet, dort wird dann eine "Fake" windows security Warnung ausgegeben, manchmal wird auch versucht über Java etwas zu updaten.

Habe nun HJT und Mbam drüber laufen lassen.

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 19:12:57, on 13.07.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17055)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\TrueImageHome\TrueImageMonitor.exe

C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\DAEMON Tools Lite\daemon.exe

C:\Programme\Microsoft ActiveSync\wcescomm.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Rainlendar2\Rainlendar2.exe

C:\Programme\Spb Backup\SpbBackupSync.exe

C:\PROGRA~1\MICROS~1\rapimgr.exe

C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\GameTracker\GSInGameService.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\Programme\ICQ6Toolbar\ICQ Service.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\divxsm.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Dokumente und Einstellunne Dagen\###\Eigeteien\001 - New Downloads\HiJackThis204(2).exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\TrueImageHome\TrueImageMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-21-1715567821-1547161642-1801674531-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')

O4 - HKUS\S-1-5-21-1715567821-1547161642-1801674531-1004\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'postgres')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Spb Backup Sync.lnk = C:\Programme\Spb Backup\SpbBackupSync.exe

O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~1\INetRepl.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - hxxp://www.vexcast.com/download/vexcast.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GS In-Game Service - ClanServers Hosting LLC - C:\Programme\GameTracker\GSInGameService.exe

O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.2\bin\pg_ctl.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
 

--

End of file - 8951 bytes

--- --- ---

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

13.07.2010 19:14:19
mbam-log-2010-07-13 (19-14-19).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120849
Laufzeit: 4 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Vielleicht könnt ihr mir ja dabei helfen.
Danke im vorraus.

Kurzer Nachtrag, die userinit.exe kommt jedes Mal neu, wenn ich Mbam laufen lasse, lässt sich also anscheinend nicht löschen.
Danke

Zitat:

Datenbank Version: 4052

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Asche auf mein Haupt

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4309

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

13.07.2010 22:34:54
mbam-log-2010-07-13 (22-34-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 253425
Laufzeit: 56 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

C:\Programme\Sygate\SPF\smc.exe

Bitte deinstallieren, Sygate wird schon lange nicht mehr supportet. Als Ersatz nimmst Du die Windows-Firewall.
Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

mach nach der Deinstallations von Sygate bitte Logs mit OTL und poste sie:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Ok Danke erstmal für die schnelle Antwort und die sachliche Kritik, jetzt wollte ich die files hier posten, aber jedes Mal wird die Verbindung zum Server unterbrochen ?

Noch ein Versuch:
Mehr bekomme ich rein, kann jemand einem helfen, der aufm Schlauch steht ?

Code:

OTL Extras logfile created on: 14.07.2010 00:39:45 - Run 1

OTL by OldTimer - Version 3.2.9.0     Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 80,00% Memory free

5,00 Gb Paging File | 4,00 Gb Available in Paging File | 88,00% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 916,86 Gb Total Space | 775,69 Gb Free Space | 84,60% Space Free | Partition Type: NTFS

Drive D: | 465,75 Gb Total Space | 30,10 Gb Free Space | 6,46% Space Free | Partition Type: NTFS

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

Drive R: | 31,86 Mb Total Space | 31,86 Mb Free Space | 100,00% Space Free | Partition Type: FAT

 

Computer Name: ***-17D682D87

Current User Name: ***

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [SCHLECKER Foto Digital Service] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service.exe" "%1" ()

Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)

Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)

Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"5353:TCP" = 5353:TCP:*:Enabled:Adobe CSI CS4

"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)

"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)

"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- File not found

"C:\Programme\Anno 1701\Anno1701.exe" = C:\Programme\Anno 1701\Anno1701.exe:*:Disabled:Anno 1701 -- (Related Designs Software GmbH)

"C:\Programme\Zoo Tycoon 2\zt.exe" = C:\Programme\Zoo Tycoon 2\zt.exe:*:Enabled:Zoo Tycoon 2 Executable -- (Microsoft Corporation)

"C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" = C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4 -- (Adobe Systems Incorporated)

"C:\Programme\TeamViewer\Version4\TeamViewer.exe" = C:\Programme\TeamViewer\Version4\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application -- (TeamViewer GmbH)

"C:\Dokumente und Einstellungen\***\Eigene Dateien\TeamSpeak-Spam\Spamer.exe" = C:\Dokumente und Einstellungen\***\Eigene Dateien\TeamSpeak-Spam\Spamer.exe:*:Enabled:Spamer -- ()

"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)

"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)

"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)

"C:\Programme\ANNO 1404\tools\Anno4Web.exe" = C:\Programme\ANNO 1404\tools\Anno4Web.exe:*:Disabled:Anno4Web -- ()

"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)

"C:\Programme\PointPoker\jre\bin\javaw.exe" = C:\Programme\PointPoker\jre\bin\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary -- (Sun Microsystems, Inc.)

"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)

"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard)

"C:\Programme\SopCast\SopCast.exe" = C:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application -- (www.sopcast.com)

"C:\Programme\SopCast\adv\SopAdver.exe" = C:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver -- (www.sopcast.com)

"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)

"C:\Programme\Worms 4 Mayhem\WORMS 4 MAYHEM.EXE" = C:\Programme\Worms 4 Mayhem\WORMS 4 MAYHEM.EXE:*:Enabled:Worms 4 Mayhem -- File not found

"C:\Programme\Worms World Party\wwp.exe" = C:\Programme\Worms World Party\wwp.exe:*:Enabled:Worms World Party -- File not found

"C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\001 - usenext\wizard\Worms World Party By Gervino (PC)\Worms World Party.exe" = C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\001 - usenext\wizard\Worms World Party By Gervino (PC)\Worms World Party.exe:*:Enabled:Worms World Party -- File not found

"C:\Programme\Worms World Party\wwp_game.exe" = C:\Programme\Worms World Party\wwp_game.exe:*:Enabled:Worms World Party -- File not found

"C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\OpenLieroX_0.57_rc1.win32\OpenLieroX\OpenLieroX.exe" = C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\OpenLieroX_0.57_rc1.win32\OpenLieroX\OpenLieroX.exe:*:Enabled:OpenLieroX -- File not found

"C:\Programme\Valve\hlds.exe" = C:\Programme\Valve\hlds.exe:*:Enabled:HLDS Launcher -- (Valve)

"C:\Programme\Valve\hl.exe" = C:\Programme\Valve\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)

"C:\Programme\TeamViewer\Version5\TeamViewer.exe" = C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)

"C:\Programme\TVUPlayer\TVUPlayer.exe" = C:\Programme\TVUPlayer\TVUPlayer.exe:*:Enabled:TVUPlayer Component -- File not found

"C:\Programme\Football Manager 2010\fm.exe" = C:\Programme\Football Manager 2010\fm.exe:*:Enabled:Football Manager 2010 -- (Sports Interactive)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148

"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404

"{05308C4E-7285-4066-BAE3-6B50DA6ED755}" = Adobe Update Manager CS4

"{098727E1-775A-4450-B573-3F441F1CA243}" = kuler

"{098A2A49-7CF3-4F08-A38D-FB879117152A}" = Adobe Color NA Extra Settings CS4

"{0D6013AB-A0C7-41DC-973C-E93129C9A29F}" = Adobe Color JA Extra Settings CS4

"{0D67A4E4-5BE0-4C9A-8AD8-AB552B433F23}" = Adobe Setup

"{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1}" = Adobe Color EU Recommended Settings CS4

"{0F723FC1-7606-4867-866C-CE80AD292DAF}" = Adobe CSI CS4

"{0F7C2E47-089E-4d23-B9F7-39BE00100776}" = Toolbox

"{132C89C5-3B67-48A9-BFF4-B530B044522D}" = Multi Teamspeak  2.33.77

"{1618734A-3957-4ADD-8199-F973763109A8}" = Adobe Anchor Service CS4

"{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}" = AdobeColorCommonSetRGB

"{1B14B0C3-2D60-477C-A1FE-B88E60948854}" = OpenOffice.org 2.4

"{1C4551A6-4743-4093-91E4-1477CD655043}" = NVIDIA PhysX

"{1C52A42B-32D4-49E6-994B-8373E4718049}" = O&O MediaRecovery

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{1F701DBD-1660-4108-B10A-FB435EA63BF0}" = PostgreSQL 8.2

"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 20

"{294EF51E-1453-4F42-8792-77DBFB47D0EC}" = Crazy Machines - Neue Herausforderungen

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}" = PDF Settings CS4

"{37F6190F-8A86-4B19-86A3-5A59BEA62823}" = O&O UnErase

"{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}" = Adobe XMP Panels CS4

"{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}" = Adobe Color - Photoshop Specific CS4

"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404

"{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}" = Adobe WinSoft Linguistics Plugin

"{42DE940E-8037-4266-9FBF-5A3AEDA39E96}" = Holdem Manager

"{4761EB82-E8BD-45A4-B19B-586FA9D1D7E6}" = Camtasia Studio 6

"{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}" = Adobe Service Manager Extension

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{534802E0-761E-47F4-BD27-061BC8F976AE}" = O&O SafeErase

"{63C24A08-70F3-4C8E-B9FB-9F21A903801D}" = Adobe Color Video Profiles CS CS4

"{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}" = Adobe Photoshop CS4 Support

"{67ED38A3-4882-448B-B44D-3428AB00D7D5}" = Acronis*True*Image*Home

"{68243FF8-83CA-466B-B2B8-9F99DA5479C4}" = AdobeColorCommonSetCMYK

"{687FEF8A-8597-40b4-832C-297EA3F35817}" = BufferChm

"{6D0C6BE4-F674-43D2-96BC-3509345108C9}_is1" = PokerStove version 1.23

"{702BF99A-95AE-4E67-A813-2D8BA7A020C2}" = TableNinjaFT

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053

"{80533B67-C407-485D-8B5D-63BB8ED9D878}" = Scan

"{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}" = Adobe Type Support CS4

"{83877DB1-8B77-45BC-AB43-2BAC22E093E0}" = Adobe Bridge CS4

"{842B4B72-9E8F-4962-B3C1-1C422A5C4434}" = Suite Shared Configuration CS4

"{8A85DEAD-7C1F-4368-881C-72AC74CB2E91}" = UnloadSupport

"{907B4640-266B-4A21-92FB-CD1A86CD0F63}" = RollerCoaster Tycoon® 3

"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU

"{931AB7EA-3656-4BB7-864D-022B09E3DD67}" = Adobe Linguistics CS4

"{94D398EB-D2FD-4FD1-B8C4-592635E8A191}" = Adobe CMaps CS4

"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting

"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{9ABFB92D-93DA-49EE-8ABF-F8195DE45CA9}" = Counter-Strike 1.6

"{A2433A63-5F5D-40E5-B529-9123C2B3E734}" = Anno 1701

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch

"{B29AD377-CC12-490A-A480-1452337C618D}" = Connect

"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy

"{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494}" = Adobe Photoshop CS4

"{BB4E33EC-8181-4685-96F7-8554293DEC6A}" = Adobe Output Module

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C1A80F67-656F-4DF3-A6C4-DE18A47477C5}_is1" = ICQ Away Reader 1.4

"{C52E3EC1-048C-45E1-8D53-10B0C6509683}" = Adobe Default Language CS4

"{c6922d7f-c698-4d9e-9671-8b3de04d1511}" = DJ_AIO_03_F2200_Software_Min

"{CC75AB5C-2110-4A7F-AF52-708680D22FE8}" = Photoshop Camera Raw

"{CCB9B81A-167F-4832-B305-D2A0430840B3}" = WebReg

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1

"{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}" = Full Tilt Poker

"{D77D43B5-ED55-426b-B67B-E21F804F6102}" = HP Deskjet F2200 All-In-One Driver Software 10.0 Rel .3

"{db18dc72-cd20-4801-be82-f5d2caeec4d7}" = DJ_AIO_03_F2200_Software

"{E4848436-0345-47E2-B648-8B522FCDA623}" = Adobe Photoshop CS4

"{EA926717-CE5A-4CB4-AB21-9E6E9565A458}" = RCT3 Soaked

"{F0E64E2E-3A60-40D8-A55D-92F6831875DA}" = Adobe Search for Help

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer

"{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}" = Adobe ExtendScript Toolkit CS4

"{F93C84A6-0DC6-42AF-89FA-776F7C377353}" = Adobe PDF Library Files CS4

"{F93D7C85-D246-40CA-B4D7-5D7B9F73C7AF}_is1" = Sprengmeister 1.3.11

"{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}" = Adobe Fonts All

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

"Adobe_faf656ef605427ee2f42989c3ad31b8" = Adobe Photoshop CS4

"Ashampoo Burning Studio 9_is1" = Ashampoo Burning Studio 9.03

"Ask Toolbar_is1" = Ask Toolbar

"Audacity_is1" = Audacity 1.2.6

"AutoHotkey" = AutoHotkey 1.0.48.03

"AV Voice Changer Software DIAMOND 6.0" = AV Voice Changer Software DIAMOND 6.0

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"Betfred Poker" = Betfred Poker

"Cardroom2" = Cardroom2

"CCleaner" = CCleaner

"Cheat Engine 5.5_is1" = Cheat Engine 5.5

"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20

"Football Manager 2010" = Football Manager 2010

"Free YouTube to Mp3 Converter_is1" = Free YouTube to Mp3 Converter version 3.2

"GameTracker Lite" = GameTracker Lite

"ICQToolbar" = ICQ Toolbar

"ImgBurn" = ImgBurn

"Internet Scrabble Club_is1" = WordBiz version 1.8

"JPG to PDF Converter" = JPG to PDF Converter 1.0

"KeePass Password Safe_is1" = KeePass Password Safe 1.16

"KeyTweak" = KeyTweak - Keyboard Remapper (remove only)

"KLiteCodecPack_is1" = K-Lite Codec Pack 3.8.5 Full

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"ManyCam" = ManyCam 2.4 (remove only)

"Media Player - Codec Pack" = Media Player Codec Pack 3.8.0

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox (3.5.10)" = Mozilla Firefox (3.5.10)

"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)

"mp3splt-gtk" = mp3splt-gtk

"NoLimits Coasters full" = Achterbahn-Simulator 2009 (entfernen)

"NVIDIA Drivers" = NVIDIA Drivers

"Ongame BetPot 1.23_is1" = Ongame BetPot 1.23

"Ongame BetPot 1.25_is1" = Ongame BetPot 1.25

"Ongame BetPot 1.29_is1" = Ongame BetPot 1.29

Code:

"PartyPoker" = PartyPoker

"Peter's Casino for Windows CE" = Peter's Casino for Windows CE

"PokerStars" = PokerStars

"Rainlendar2" = Rainlendar2 (remove only)

"SCHLECKER Foto Digital Service" = SCHLECKER Foto Digital Service

"ShockwaveFlash" = Adobe Flash Player 9 ActiveX

"SopCast" = SopCast 3.2.4

"Spb Backup" = Spb Backup

"Spb Backup_is1" = Spb Backup 2.0

"Spb Mobile Shell" = Spb Mobile Shell

"Spb Time" = Spb Time

"SpeedFan" = SpeedFan (remove only)

"SPEEDO Aquabeat Playlist EditorV1.28" = SPEEDO Aquabeat Playlist Editor

"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2

"TeamSpeak 3 Client" = TeamSpeak 3 Client

"TeamViewer 4" = TeamViewer 4

"TeamViewer 5" = TeamViewer 5

"The Wonderful Icon" = The Wonderful Icon

"Tower Gaming_is1" = Tower Gaming

"Tropico3" = Tropico 3 1.00

"TrueCrypt" = TrueCrypt

"Uninstall_is1" = Uninstall 1.0.0.1

"UseNeXT_is1" = UseNeXT

"VLC media player" = VLC media player 1.0.3

"Winamp" = Winamp

"WinRAR archiver" = WinRAR

"WUV30" = Windows Update Agent 3.0

"Yahoo! Widget Engine" = Yahoo! Widgets

"YInstHelper" = Yahoo! Install Manager

"Zoo Tycoon 2" = Zoo Tycoon 2

 
 ========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Move Media Player" = Move Media Player

"Poker Evolution Equilab" = Poker Evolution Equilab

"SpadeEye" = SpadeEye

"uTorrent" = µTorrent

 
 ========== Last 10 Event Log Errors ==========

Code:

TL logfile created on: 14.07.2010 00:39:45 - Run 1

OTL by OldTimer - Version 3.2.9.0     Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 80,00% Memory free

5,00 Gb Paging File | 4,00 Gb Available in Paging File | 88,00% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 916,86 Gb Total Space | 775,69 Gb Free Space | 84,60% Space Free | Partition Type: NTFS

Drive D: | 465,75 Gb Total Space | 30,10 Gb Free Space | 6,46% Space Free | Partition Type: NTFS

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

Drive R: | 31,86 Mb Total Space | 31,86 Mb Free Space | 100,00% Space Free | Partition Type: FAT

 

Computer Name: ***-17D682D87

Current User Name: ***

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)

PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()

PRC - C:\Programme\GameTracker\GSInGameService.exe (ClanServers Hosting LLC)

PRC - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe (Acronis)

PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)

PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)

PRC - C:\Programme\TrueImageHome\TrueImageMonitor.exe (Acronis)

PRC - C:\Programme\Rainlendar2\Rainlendar2.exe ()

PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)

PRC - C:\Programme\PostgreSQL\8.2\bin\postgres.exe (PostgreSQL Global Development Group)

PRC - C:\Programme\PostgreSQL\8.2\bin\pg_ctl.exe (PostgreSQL Global Development Group)

PRC - C:\Programme\Spb Backup\SpbBackupSync.exe ()

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)

PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation)

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\***\Eigene Dateien\001 - New Downloads\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()

SRV - (GS In-Game Service) -- C:\Programme\GameTracker\GSInGameService.exe (ClanServers Hosting LLC)

SRV - (afcdpsrv) -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe (Acronis)

SRV - (AcrSch2Svc) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)

SRV - (vvdsvc) -- C:\WINDOWS\system32\nagasoft\vjocx.dll (NanJing Nagasoft Co, LTD.)

SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.)

SRV - (ASKUpgrade) -- C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe ()

SRV - (pgsql-8.2) -- C:\Programme\PostgreSQL\8.2\bin\pg_ctl.exe (PostgreSQL Global Development Group)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\System32\drivers\ALCXWDM.SYS File not found

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (afcdp) -- C:\WINDOWS\system32\drivers\afcdp.sys (Acronis)

DRV - (tdrpman258) Acronis Try&Decide and Restore Points filter (build 258) -- C:\WINDOWS\system32\DRIVERS\tdrpm258.sys (Acronis)

DRV - (timounter) -- C:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis)

DRV - (snapman) -- C:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis)

DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()

DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()

DRV - (truecrypt) -- C:\WINDOWS\system32\drivers\truecrypt.sys (TrueCrypt Foundation)

DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()

DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)

DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative)

DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)

DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)

DRV - (ManyCam) -- C:\WINDOWS\system32\drivers\ManyCam.sys (ManyCam LLC.)

DRV - (speedfan) -- C:\WINDOWS\system32\speedfan.sys (Windows (R) 2000 DDK provider)

DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.)

DRV - (RT61) Linksys Wireless-G PCI Adapter Driver(RT61) -- C:\WINDOWS\system32\drivers\rt61.sys (Ralink Technology Inc.)

DRV - (RT2500) -- C:\WINDOWS\system32\drivers\RT2500.sys (Ralink Technology Inc.)

DRV - (BCM42RLY) -- C:\WINDOWS\system32\bcm42rly.sys (Broadcom Corporation)

DRV - (RRamdisk) -- C:\WINDOWS\system32\DRIVERS\rramdisk.sys (gavotte)

DRV - (GTNDIS5) -- C:\WINDOWS\system32\GTNDIS5.sys (Printing Communications Assoc., Inc. (PCAUSA))

DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys ()

Code:

========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu"

FF - prefs.js..browser.startup.homepage: "www.google.de"

FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1

FF - prefs.js..extensions.enabledItems: autopager@mozilla.org:0.6.1.22

FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.3

FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.10

FF - prefs.js..extensions.enabledItems: dvscontextmenuy@dvdvideosoft.com:1.0

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.06.28 21:10:16 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.13 10:54:00 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.03.29 04:01:08 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins

 

[2009.05.28 21:12:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions

[2010.07.13 18:30:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions

[2010.01.07 03:11:56 | 000,000,000 | ---D | M] (IE Tab) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9}

[2010.02.19 03:08:51 | 000,000,000 | ---D | M] (Live HTTP Headers) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}

[2010.06.25 04:58:58 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}

[2010.07.10 13:16:04 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

[2010.06.11 00:01:33 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}

[2010.07.09 01:40:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\extensions\autopager@mozilla.org

[2010.07.12 03:25:52 | 000,000,958 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\searchplugins\icqplugin.xml

[2010.07.13 18:11:56 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2010.07.13 10:54:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll

[2007.03.10 01:16:44 | 000,189,496 | ---- | M] (Yahoo! Inc.) -- C:\Programme\Mozilla Firefox\plugins\npyaxmpb.dll

[2009.06.30 21:54:11 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2009.06.30 21:54:11 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2009.06.30 21:54:11 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2009.09.10 20:02:41 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2009.06.30 21:54:11 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2009.05.30 23:36:17 | 000,000,853 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O1 - Hosts: 127.0.0.1                                activate.adobe.com

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)

O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)

O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\TrueImageHome\TrueImageMonitor.exe (Acronis)

O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)

O4 - HKCU..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe ()

O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Spb Backup Sync.lnk = C:\Programme\Spb Backup\SpbBackupSync.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Neuer Schlüssel #1:  = HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer

O8 - Extra context menu item: Save YouTube Video as MP3 - C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll (DVSTeam)

O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)

O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe ()

O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe ()

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Programme\Yahoo!\Common\Yinsthelper.dll (Installation Support)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)

O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} hxxp://www.vexcast.com/download/vexcast.cab (VodClient Control Class)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.0.43.17 217.0.43.49

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O27 - HKLM IFEO\userinit.exe: Debugger - monavideo.exe ()

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.05.28 20:37:54 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.07.13 10:54:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun

[2010.07.13 10:54:13 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java

[2010.07.13 10:53:59 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll

[2010.07.13 10:53:59 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe

[2010.07.13 10:53:59 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe

[2010.07.13 10:53:59 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe

[2010.07.13 04:11:59 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent

[2010.07.11 08:33:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia

[2010.07.11 05:07:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe

[2010.07.11 04:38:26 | 000,000,000 | ---D | C] -- C:\Programme\SpeedFan

[2010.07.11 04:07:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\cyelthure

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[16 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.07.14 00:38:19 | 001,042,248 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010.07.14 00:38:19 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.07.14 00:38:19 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.07.14 00:38:19 | 000,080,104 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.07.14 00:38:19 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010.07.14 00:35:00 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.07.14 00:34:02 | 000,229,488 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml

[2010.07.14 00:33:56 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.07.14 00:33:55 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.07.14 00:32:52 | 011,272,192 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT

[2010.07.14 00:32:52 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini

[2010.07.14 00:29:02 | 000,002,241 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk

[2010.07.13 17:57:29 | 000,193,536 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.07.13 04:13:12 | 000,008,274 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\1414561456.reg

[2010.07.13 00:23:08 | 000,002,271 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HoldemManager.lnk

[2010.07.11 04:38:26 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\SpeedFan.lnk

[2010.07.11 04:38:26 | 000,000,045 | ---- | M] () -- C:\WINDOWS\System32\initdebug.nfo

[2010.07.06 19:24:58 | 000,013,391 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\amt.odt

[2010.06.22 04:22:30 | 000,011,008 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Tarif_änderung.odt

[2010.06.21 23:47:11 | 000,000,156 | ---- | M] () -- C:\WINDOWS\Twunk001.MTX

[2010.06.21 23:47:11 | 000,000,004 | ---- | M] () -- C:\WINDOWS\Twain001.Mtx

[2010.06.15 09:02:18 | 000,000,379 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Verknüpfung mit 0001 - BIBI FOTOS.lnk

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[16 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.07.13 04:13:06 | 000,008,274 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\1414561456.reg

[2010.07.11 04:38:26 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\SpeedFan.lnk

[2010.07.11 04:38:24 | 000,000,045 | ---- | C] () -- C:\WINDOWS\System32\initdebug.nfo

[2010.07.04 15:32:02 | 000,013,391 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\amt.odt

[2010.06.22 04:21:06 | 000,011,008 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Tarif_änderung.odt

[2010.05.14 00:46:59 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI

[2010.02.21 06:54:27 | 001,970,176 | ---- | C] () -- C:\WINDOWS\System32\d3dx9.dll

[2009.12.18 03:50:43 | 001,053,056 | ---- | C] () -- C:\WINDOWS\System32\drivers\CAMTHWDM.sys

[2009.11.24 17:08:02 | 000,001,497 | ---- | C] () -- C:\WINDOWS\PartyGrabber.ini

[2009.08.27 21:04:44 | 000,557,003 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll

[2009.08.27 21:04:32 | 000,811,835 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll

[2009.08.27 21:03:52 | 004,456,201 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll

[2009.08.25 20:07:36 | 000,328,334 | ---- | C] () -- C:\WINDOWS\System32\ff_kernelDeint.dll

[2009.08.25 19:38:04 | 000,425,040 | ---- | C] () -- C:\WINDOWS\System32\TomsMoComp_ff.dll

[2009.08.25 18:56:56 | 000,829,781 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll

[2009.08.25 18:37:02 | 000,146,098 | ---- | C] () -- C:\WINDOWS\System32\libmpeg2_ff.dll

[2009.06.12 04:14:10 | 000,001,035 | ---- | C] () -- C:\WINDOWS\3dpokerbandit.INI

[2009.06.12 04:12:33 | 000,000,004 | ---- | C] () -- C:\WINDOWS\wintov10.ini

[2009.06.12 04:11:49 | 000,000,969 | ---- | C] () -- C:\WINDOWS\Poker_GF.INI

[2009.06.02 19:15:44 | 000,113,152 | ---- | C] () -- C:\WINDOWS\System32\ff_unrar.dll

[2009.06.02 19:15:18 | 000,146,944 | ---- | C] () -- C:\WINDOWS\System32\ff_tremor.dll

[2009.06.02 19:15:04 | 000,183,296 | ---- | C] () -- C:\WINDOWS\System32\ff_samplerate.dll

[2009.06.02 19:14:56 | 000,178,688 | ---- | C] () -- C:\WINDOWS\System32\ff_libmad.dll

[2009.06.02 19:14:30 | 000,486,400 | ---- | C] () -- C:\WINDOWS\System32\ff_libfaad2.dll

[2009.06.02 19:13:58 | 000,257,024 | ---- | C] () -- C:\WINDOWS\System32\ff_libdts.dll

[2009.06.02 19:13:50 | 000,142,848 | ---- | C] () -- C:\WINDOWS\System32\ff_liba52.dll

[2009.06.02 19:11:26 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll

[2009.06.02 19:11:16 | 000,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll

[2009.05.30 13:32:39 | 000,197,120 | ---- | C] () -- C:\WINDOWS\patchw32.dll

[2009.05.29 18:02:09 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.INI

[2009.05.29 15:51:49 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys

[2009.05.29 15:51:49 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys

[2009.05.29 15:33:10 | 000,721,904 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys

[2009.05.29 03:47:31 | 000,164,352 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll

[2009.05.29 02:53:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\HMHud.INI

[2009.05.28 20:52:05 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\GTW32N50.dll

[2009.05.28 20:33:58 | 000,394,752 | ---- | C] () -- C:\WINDOWS\System32\cygwinb19.dll

[2009.05.01 00:31:06 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll

[2009.05.01 00:31:06 | 001,507,328 | ---- | C] () -- C:\WINDOWS\System32\nview.dll

[2009.05.01 00:31:06 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll

[2009.05.01 00:31:06 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll

[2009.01.11 00:17:32 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\ts.dll

[2009.01.11 00:16:56 | 000,148,480 | ---- | C] () -- C:\WINDOWS\System32\mkx.dll

[2009.01.11 00:16:50 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\avi.dll

[2009.01.11 00:16:14 | 000,141,312 | ---- | C] () -- C:\WINDOWS\System32\mp4.dll

[2009.01.11 00:15:54 | 000,120,832 | ---- | C] () -- C:\WINDOWS\System32\ogm.dll

[2009.01.11 00:15:44 | 000,159,744 | ---- | C] () -- C:\WINDOWS\System32\mmfinfo.dll

[2009.01.11 00:15:32 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\avss.dll

[2009.01.11 00:15:28 | 000,246,784 | ---- | C] () -- C:\WINDOWS\System32\dxr.dll

[2009.01.11 00:15:12 | 000,097,280 | ---- | C] () -- C:\WINDOWS\System32\avs.dll

[2009.01.11 00:14:08 | 000,079,360 | ---- | C] () -- C:\WINDOWS\System32\mkzlib.dll

[2009.01.11 00:14:06 | 000,023,552 | ---- | C] () -- C:\WINDOWS\System32\mkunicode.dll

[2008.12.04 00:11:50 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll

[2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll

[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest

[2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll

[2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll

[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll

[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll

[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll

[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll

[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll

[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll

[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll

[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll

[2008.06.20 09:55:48 | 000,693,792 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll

[2007.10.13 11:30:20 | 000,000,137 | ---- | C] () -- C:\WINDOWS\System32\Registration.ini

[2007.07.10 19:10:12 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest

[1996.04.03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys

< End of report >

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O27 - HKLM IFEO\userinit.exe: Debugger - monavideo.exe ()

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Nochmal danke für die schnelle Hilfe !

Code:

All processes killed

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\ deleted successfully.

File monavideo.exe not found.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Homer

->Temp folder emptied: 2942077786 bytes

->Temporary Internet Files folder emptied: 24215334 bytes

->Java cache emptied: 1776745 bytes

->FireFox cache emptied: 38627724 bytes

->Flash cache emptied: 15551 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 6093288 bytes

->Flash cache emptied: 2004 bytes

 

User: postgres

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2352202 bytes

%systemroot%\System32 .tmp files removed: 17147783 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 6379438 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 2.898,00 mb

 

 

OTL by OldTimer - Version 3.2.9.0 log created on 07152010_182330
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Code:

ComboFix 10-07-15.01 - Homer 15.07.2010  20:09:28.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2937 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Homer\Desktop\cofi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\11478.exe

c:\windows\system32\15724.exe

c:\windows\system32\18467.exe

c:\windows\system32\19169.exe

c:\windows\system32\26500.exe

c:\windows\system32\6334.exe
 

Infizierte Kopie von c:\windows\system32\drivers\imapi.sys wurde gefunden und desinfiziert 

Kopie von - Kitty had a snack :p wurde wiederhergestellt 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-15 bis 2010-07-15  ))))))))))))))))))))))))))))))

.
 

2010-07-15 16:23 . 2010-07-15 16:23        --------        d-----w-        C:\_OTL

2010-07-13 08:54 . 2010-07-13 08:54        503808        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\msvcp71.dll

2010-07-13 08:54 . 2010-07-13 08:54        499712        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\jmc.dll

2010-07-13 08:54 . 2010-07-13 08:54        348160        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\msvcr71.dll

2010-07-13 08:54 . 2010-07-13 08:54        61440        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-594fe5bf-n\decora-sse.dll

2010-07-13 08:54 . 2010-07-13 08:54        12800        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-594fe5bf-n\decora-d3d.dll

2010-07-13 08:54 . 2010-07-13 08:54        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java

2010-07-13 08:53 . 2010-04-12 15:29        411368        ----a-w-        c:\windows\system32\deployJava1.dll

2010-07-11 21:23 . 2010-07-11 21:23        335872        ----a-r-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Microsoft\Installer\{37F6190F-8A86-4B19-86A3-5A59BEA62823}\oo_unerase_9C3BE5C3A3C646DABE40B79DE57BC3BB.exe

2010-07-11 21:23 . 2010-07-11 21:23        335872        ----a-r-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Microsoft\Installer\{37F6190F-8A86-4B19-86A3-5A59BEA62823}\ARPPRODUCTICON.exe

2010-07-11 02:38 . 2010-07-12 22:25        --------        d-----w-        c:\programme\SpeedFan

2010-07-11 02:07 . 2010-07-12 20:50        --------        d-----w-        c:\dokumente und einstellungen\Homer\Lokale Einstellungen\Anwendungsdaten\cyelthure
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-15 18:13 . 2004-08-04 12:00        80104        ----a-w-        c:\windows\system32\perfc007.dat

2010-07-15 18:13 . 2004-08-04 12:00        448470        ----a-w-        c:\windows\system32\perfh007.dat

2010-07-15 18:08 . 2010-01-15 03:48        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\GameTracker

2010-07-15 17:48 . 2009-09-13 00:28        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-07-15 03:31 . 2009-05-29 00:30        --------        d-----w-        c:\programme\Mozilla Thunderbird

2010-07-15 02:48 . 2010-01-04 21:53        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\vlc

2010-07-15 02:29 . 2009-12-02 04:54        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Skype

2010-07-14 07:30 . 2009-05-29 01:19        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\UseNeXT

2010-07-13 17:09 . 2010-03-24 23:23        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-07-13 08:53 . 2009-11-30 22:39        --------        d-----w-        c:\programme\Java

2010-07-11 21:23 . 2010-01-28 17:21        --------        d-----w-        c:\programme\OO Software

2010-07-06 17:20 . 2009-05-29 00:14        1        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys

2010-07-06 17:20 . 2009-05-29 00:14        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\OpenOffice.org2

2010-07-05 15:25 . 2010-01-04 21:54        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\dvdcss

2010-06-23 03:59 . 2009-05-28 23:58        --------        d-----w-        c:\programme\TowerGaming

2010-06-16 17:33 . 2009-06-02 03:07        --------        d-----w-        c:\programme\Full Tilt Poker

2010-06-10 22:02 . 2009-05-29 15:58        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Winamp

2010-06-03 17:07 . 2009-05-28 22:07        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\teamspeak2

2010-05-27 16:49 . 2009-05-28 22:11        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\skypePM

2010-05-17 21:58 . 2009-05-28 23:36        --------        d-----w-        c:\programme\Holdem Manager

2010-05-13 21:11 . 2010-05-13 21:11        16        ----a-w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\qvjsge.dat

2010-05-13 18:58 . 2010-05-13 18:58        16        ----a-w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qvjsge.dat

2010-05-04 17:14 . 2008-04-23 04:16        832512        ----a-w-        c:\windows\system32\wininet.dll

2010-05-04 17:14 . 2008-06-20 07:57        78336        ----a-w-        c:\windows\system32\ieencode.dll

2010-05-04 17:14 . 2008-06-20 07:56        17408        ----a-w-        c:\windows\system32\corpol.dll

2010-05-02 08:05 . 2008-04-14 05:23        1851392        ----a-w-        c:\windows\system32\win32k.sys

2010-04-29 13:39 . 2010-03-24 23:23        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-03-24 23:23        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-04-25 22:27 . 2009-05-28 20:44        19624        ----a-w-        c:\dokumente und einstellungen\Homer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-04-20 05:29 . 2008-04-14 05:50        285696        ----a-w-        c:\windows\system32\atmfd.dll

.
 

------- Sigcheck -------
 

[-] 2008-06-20 . B4D6D344EACDA356D4AAAC7757955F0C . 407040 . . [5.1.2600.5582] . . c:\windows\system32\netlogon.dll
 

[-] 2008-06-20 07:56 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]
 

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2009-08-22 5148672]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"nwiz"="nwiz.exe" [2009-04-30 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]

"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]

"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

"TrueImageMonitor.exe"="c:\programme\TrueImageHome\TrueImageMonitor.exe" [2009-10-31 5140952]

"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2009-10-31 362032]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2010-05-04 124928]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Spb Backup Sync.lnk - c:\programme\Spb Backup\SpbBackupSync.exe [2009-9-2 389120]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe]

"Debugger"=winzhpack.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 05:52        15360        ----a-w-        c:\windows\system32\ctfmon.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Anno 1701\\Anno1701.exe"=

"c:\\Programme\\Zoo Tycoon 2\\zt.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Dokumente und Einstellungen\\Homer\\Eigene Dateien\\TeamSpeak-Spam\\Spamer.exe"=

"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Programme\\ANNO 1404\\tools\\Anno4Web.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"c:\\Programme\\PointPoker\\jre\\bin\\javaw.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\SopCast\\SopCast.exe"=

"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Valve\\hlds.exe"=

"c:\\Programme\\Valve\\hl.exe"=

"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=

"c:\\Programme\\Football Manager 2010\\fm.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5353:TCP"= 5353:TCP:Adobe CSI CS4

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
 

R0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [29.05.2009 02:55 10368]

R0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\drivers\tdrpm258.sys [21.11.2009 01:42 911680]

R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [21.11.2009 01:43 2480048]

R2 GS In-Game Service;GS In-Game Service;c:\programme\GameTracker\GSInGameService.exe [15.01.2010 05:48 1643872]

R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [16.04.2010 19:26 246520]

R2 pgsql-8.2;PostgreSQL Database Server 8.2;c:\programme\PostgreSQL\8.2\bin\pg_ctl.exe runservice -w -N "pgsql-8.2" -D "c:\programme\PostgreSQL\8.2\data\" --> c:\programme\PostgreSQL\8.2\bin\pg_ctl.exe runservice -w -N pgsql-8.2 [?]

R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [21.11.2009 01:43 160288]

R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14.01.2008 12:06 21632]

S2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [22.07.2009 04:45 234888]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [28.05.2009 23:53 1684736]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.05.2009 15:33 721904]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

vvdsvc        REG_MULTI_SZ           vvdsvc

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm

FF - ProfilePath - c:\dokumente und einstellungen\Homer\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\

FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu

FF - prefs.js: browser.startup.homepage - www.google.de

FF - component: c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\FFContextMenuY\components\FFContextMenu.dll

FF - plugin: c:\dokumente und einstellungen\Homer\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npyaxmpb.dll

FF - plugin: c:\windows\system32\C2MP\npdivx32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-07-15 20:15

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Cryptography\RNG*]

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OOSAFEERASE03.00.00.01MSWINDOWS"="DE9B0370180FDD177139F28E212F12ED0F89D29080206A5CE403D22C245644A13174656FC7F5BE4B1A87C221CEB509BB948783EE3496CB035A02526D0AE4958A70B11D6E8592E187BCBCE619A1D2284AB03D9DE0499700517AA1864398CED2B44E583AD9A87C21DE3DCA2B37721CD01298A9C21DB95592C36D8F0DF70B02514506E071324D803B390417FBD25FD94B6085C1B97043B5F22DDBE825EC6121493150B81B0ED49C50527DFBEA56C8874054B56AED386852F432F4C532965E0258C36DC135976184E4B91C48AFBF53D63FE4E9806E686EF8CF4D6C2ABC7C0930FB9B234FDF0ADC2064D3D1FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6171C11EC38DE3DA6A0AC4980AC7933BA7FD869164D6794AE3697DE7E4EE3AAB9AAEAEF425820527233F881C666D3178B7B7DA099B392F29854D1585A1F95B0BF327905C8EDF8C8AE3502ADAF194247F042B57716B4B94180339E1F43E492DAC08A4F8C94D762DBAA42896E225F6BDA6823AEE7B19035F227B37DD2FCF7F185492E2208C5D8B816DF0D1C45398492ADF927679624B8CAD3BED782D5FC921D115AB73CBA2E15AC8A3B6DD57745364BA2207FF2E75D831437EF48D5CF6ED754E068E9F9AC5796C0CBA05A6A0DCA077E9FC9FD77857E2F01F4D552B4ACAFCA2A5C5EA9CD2AFCCB4CF364F39F53046EE88D5B19B15EDA5950E68263EE9A535406EF98FE3B430C04FC9ED17A50DCDBC41C59A8EAF0257E06986B7891698C9F40A1896617DC4C2AF5516DA655E9FDF2C9FB76013498CEA51C4565AF149A3A0F3F0C1F8EC2DEDCAF3B1D05140E6E4F9E2041D99FD71E95C26712BB9445119FD0E5A7264977045225D0880DC0D0F4AEE6CC787CB95B8F79799613D887A7EAF946ACAB9BC44D20CC4C170E32C77228BD083C04DC756A89B9A63EABAA5D5D5ECC086FA27F20819DAE195500A535E645E0F3BB96FBEE5541DF54D416A55B2F3161DDEE6C5472F479A03134001D0CC89F404D7D3B60330C7D33C5B6613F40884341484FB9A2C2ACC41171BF8650C1559B4A6D17CC9347A619C27022EE72BAF881BAF99A93F41051252D686BDF7AC1EEB63160057C22A1E083617DBA73BD6F35F26258BA53DBC931526B5B0C2ADEE89BFB67E724CF9D2C99BFA4CA89F923F494AD0EFD0228EA553B9B03405A5B400A050FA877B79E1E4752E666E9F65FAA59935EDAB92394B90D8561EE4274B9E769F9A570B8E5173A4634A0C59FD5555D9C5246A68EB870643CC719F0C15BE1A2C36A8B8007393892ED07AFA3E657634B3113B894B13D648924E04C0D537543BFC4ED9DDEF29F58C57B3D66A7EB1261877FBF9F8C8F11F0CC7B50170BBC0A2217103ECE5341EA1EFB1E67AA3A90047EA6E36275B8457AE9"

.

Zeit der Fertigstellung: 2010-07-15  20:16:55

ComboFix-quarantined-files.txt  2010-07-15 18:16
 

Vor Suchlauf: 12 Verzeichnis(se), 834.401.988.608 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 834.400.751.616 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

- - End Of File - - E72FA7D040F56BE6FCCF06DCB853BE88

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Folder::

c:\dokumente und einstellungen\Homer\Lokale Einstellungen\Anwendungsdaten\cyelthure
 

File::

c:\dokumente und einstellungen\LocalService\Anwendungsdaten\qvjsge.dat

c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qvjsge.dat

c:\windows\system32\winzhpack.exe
 

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe]

"Debugger"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hey, nachdem ich das gemacht habe, kam der reboot und der hintegrundbildschirm, ohne die ganzen Programme auf dem Desktop, nach ca. 1 Minute kommt dann der Startbildschirm für Benutzerkonten und wenn ich mich darüber anmelden will, kommt die Meldung: Einstellungen werden gespeichert, abmelden" und ich bin wieder auf dem Startbildschirm für Benutzerkonten.
Also ich komme jetzt garnicht mehr an den Rechner dran.
Kann ich da noch was machen ?

Wahrscheinlich ein verbogener Registrywert... :balla:
Hier ein Workaround über ne Live-CD, musst Du mit nem funktionieren Rechner erstellen.

PE Builder (Bart's Preinstalled Environment (BartPE) und eine bootable live windows CD erstellen => Bart's Preinstalled Environment (BartPE) bootable live windows CD/DVD

nach Fertigstellung der CD den Rechner von dieser booten.
Sobald die Oberfläche da ist, auf den vertrauten Windows-Button (heisst aber "UBCD 4Win") links unten klicken und unter "Programs" -> "Registry Tools" -> dort den "Registry Editor PE v0.2b" aufrufen !

Zu diesem diesen Pfad navigieren: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows NT\CurrentVersion\Winlogon
Unter Winlogon den Eintrag "Userinit" prüfen bzw. Pfad zur Userinit.exe ändern !
Der Eintrag--> Userinit hat normalerweise diesen Wert: "C:\WINDOWS\system32\userinit.exe," <-- ohne " (das Komma am Ende ist kein Schreibfehler)
Falls es was anderes stehen hat, dann raus damit !

Hey, habe die CD gebrannt und von ihr gebootet, den Eintrag registry tools gibt es nicht unter programs, ich kann aber regedit ausführen, nur da muss ich ja auf c: (hkey_localmachine, datei, struktur laden ) zugreifen, soweit richtig ?

Ja, Struktur laden ist richtig :)

Ok, danke.
Die userinit hat genau den richtigen Pfad, wie du ihn mir oben geschrieben hast.

Fährt Windows wieder normal hoch?

Wenn nicht, prüf auch bitte ob bei diesem hier

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe

der Eintrag debugger weg ist.

Du hast doch über Struktur laden die Registry-Datei aus dem installierten Windows genommen oder?

Nein, der Pfad war so wie er oben steht, deswegen muss ich da ja auch nichts verändern. Windows stoppt immer noch beim Desktop und kehrt zurück zum Login Bildschirm.

Edit: Ja habe Struktur von C: geladen, was genau heisst den Eintrag debgugger ? bzw. ob der weg is ?

Hatte nen Edit eingefügt ;)

Ok da steht folgendes:

Standard - Wert nicht gesetzt
Debugger - winzhpack.exe

Zitat:

Debugger - winzhpack.exe

Den Value Debugger musst Du löschen! Probier dann einen Neustart von Windows.

Ok Windows geht schonmal wieder :-)
Nun die log file:

Code:

ComboFix 10-07-15.01 - Homer 15.07.2010  21:07:46.2.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2846 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Homer\Desktop\cofi.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Homer\Desktop\CFScript.txt
 

FILE ::

"c:\dokumente und einstellungen\LocalService\Anwendungsdaten\qvjsge.dat"

"c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qvjsge.dat"

"c:\windows\system32\winzhpack.exe"

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Homer\Lokale Einstellungen\Anwendungsdaten\cyelthure

c:\dokumente und einstellungen\LocalService\Anwendungsdaten\qvjsge.dat

c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\qvjsge.dat

c:\windows\system32\winzhpack.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-16 bis 2010-07-16  ))))))))))))))))))))))))))))))

.
 

2010-07-15 20:15 . 2010-07-15 20:15        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2010-07-15 19:10 . 2010-07-15 19:10        --------        d-----w-        c:\windows\system32\xircom

2010-07-15 19:10 . 2010-07-15 19:10        --------        d-----w-        c:\windows\system32\wbem\snmp

2010-07-15 19:10 . 2010-07-15 19:10        --------        d-----w-        c:\programme\microsoft frontpage

2010-07-15 16:23 . 2010-07-15 16:23        --------        d-----w-        C:\_OTL

2010-07-13 08:54 . 2010-07-13 08:54        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java

2010-07-13 08:53 . 2010-04-12 15:29        411368        ----a-w-        c:\windows\system32\deployJava1.dll

2010-07-11 02:38 . 2010-07-12 22:25        --------        d-----w-        c:\programme\SpeedFan
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-16 18:16 . 2004-08-04 12:00        80104        ----a-w-        c:\windows\system32\perfc007.dat

2010-07-16 18:16 . 2004-08-04 12:00        448470        ----a-w-        c:\windows\system32\perfh007.dat

2010-07-16 18:14 . 2010-01-15 03:48        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\GameTracker

2010-07-15 17:48 . 2009-09-13 00:28        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-07-15 03:31 . 2009-05-29 00:30        --------        d-----w-        c:\programme\Mozilla Thunderbird

2010-07-15 02:48 . 2010-01-04 21:53        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\vlc

2010-07-15 02:29 . 2009-12-02 04:54        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Skype

2010-07-14 07:30 . 2009-05-29 01:19        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\UseNeXT

2010-07-13 17:09 . 2010-03-24 23:23        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-07-13 08:54 . 2010-07-13 08:54        503808        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\msvcp71.dll

2010-07-13 08:54 . 2010-07-13 08:54        499712        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\jmc.dll

2010-07-13 08:54 . 2010-07-13 08:54        348160        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4f64597b-n\msvcr71.dll

2010-07-13 08:54 . 2010-07-13 08:54        61440        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-594fe5bf-n\decora-sse.dll

2010-07-13 08:54 . 2010-07-13 08:54        12800        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-594fe5bf-n\decora-d3d.dll

2010-07-13 08:53 . 2009-11-30 22:39        --------        d-----w-        c:\programme\Java

2010-07-11 21:23 . 2010-07-11 21:23        335872        ----a-r-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Microsoft\Installer\{37F6190F-8A86-4B19-86A3-5A59BEA62823}\oo_unerase_9C3BE5C3A3C646DABE40B79DE57BC3BB.exe

2010-07-11 21:23 . 2010-07-11 21:23        335872        ----a-r-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Microsoft\Installer\{37F6190F-8A86-4B19-86A3-5A59BEA62823}\ARPPRODUCTICON.exe

2010-07-11 21:23 . 2010-01-28 17:21        --------        d-----w-        c:\programme\OO Software

2010-07-06 17:20 . 2009-05-29 00:14        1        ----a-w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys

2010-07-06 17:20 . 2009-05-29 00:14        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\OpenOffice.org2

2010-07-05 15:25 . 2010-01-04 21:54        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\dvdcss

2010-06-23 03:59 . 2009-05-28 23:58        --------        d-----w-        c:\programme\TowerGaming

2010-06-16 17:33 . 2009-06-02 03:07        --------        d-----w-        c:\programme\Full Tilt Poker

2010-06-10 22:02 . 2009-05-29 15:58        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\Winamp

2010-06-03 17:07 . 2009-05-28 22:07        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\teamspeak2

2010-05-27 16:49 . 2009-05-28 22:11        --------        d-----w-        c:\dokumente und einstellungen\Homer\Anwendungsdaten\skypePM

2010-05-17 21:58 . 2009-05-28 23:36        --------        d-----w-        c:\programme\Holdem Manager

2010-05-04 17:14 . 2008-04-23 04:16        832512        ----a-w-        c:\windows\system32\wininet.dll

2010-05-04 17:14 . 2008-06-20 07:57        78336        ----a-w-        c:\windows\system32\ieencode.dll

2010-05-04 17:14 . 2008-06-20 07:56        17408        ----a-w-        c:\windows\system32\corpol.dll

2010-05-02 08:05 . 2008-04-14 05:23        1851392        ----a-w-        c:\windows\system32\win32k.sys

2010-04-29 13:39 . 2010-03-24 23:23        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-03-24 23:23        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-04-25 22:27 . 2009-05-28 20:44        19624        ----a-w-        c:\dokumente und einstellungen\Homer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-04-20 05:29 . 2008-04-14 05:50        285696        ----a-w-        c:\windows\system32\atmfd.dll

.
 

------- Sigcheck -------
 

[-] 2008-06-20 . B4D6D344EACDA356D4AAAC7757955F0C . 407040 . . [5.1.2600.5582] . . c:\windows\system32\netlogon.dll
 

[-] 2008-06-20 07:56 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll

.

(((((((((((((((((((((((((((((   SnapShot@2010-07-15_18.15.31   )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-07-16 18:14 . 2010-07-16 18:14        16384              c:\windows\Temp\Perflib_Perfdata_69c.dat

+ 2010-07-15 20:51 . 2010-07-15 20:51        16384              c:\windows\Temp\Perflib_Perfdata_5bc.dat

+ 2010-07-15 20:19 . 2010-07-15 20:19        16384              c:\windows\Temp\Perflib_Perfdata_5b0.dat

+ 2010-07-16 04:17 . 2010-07-16 04:17        16384              c:\windows\Temp\Perflib_Perfdata_5a8.dat

+ 2010-07-16 09:53 . 2010-07-16 09:53        16384              c:\windows\Temp\Perflib_Perfdata_59c.dat

- 2004-08-04 12:00 . 2010-07-15 18:13        67312              c:\windows\system32\perfc009.dat

+ 2004-08-04 12:00 . 2010-07-16 18:15        67312              c:\windows\system32\perfc009.dat

- 2004-08-04 12:00 . 2010-07-15 18:13        432356              c:\windows\system32\perfh009.dat

+ 2004-08-04 12:00 . 2010-07-16 18:15        432356              c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]
 

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2009-08-22 5148672]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"nwiz"="nwiz.exe" [2009-04-30 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]

"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]

"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

"TrueImageMonitor.exe"="c:\programme\TrueImageHome\TrueImageMonitor.exe" [2009-10-31 5140952]

"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2009-10-31 362032]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2010-05-04 124928]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Spb Backup Sync.lnk - c:\programme\Spb Backup\SpbBackupSync.exe [2009-9-2 389120]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 05:52        15360        ----a-w-        c:\windows\system32\ctfmon.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Anno 1701\\Anno1701.exe"=

"c:\\Programme\\Zoo Tycoon 2\\zt.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Dokumente und Einstellungen\\Homer\\Eigene Dateien\\TeamSpeak-Spam\\Spamer.exe"=

"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Programme\\ANNO 1404\\tools\\Anno4Web.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"c:\\Programme\\PointPoker\\jre\\bin\\javaw.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\SopCast\\SopCast.exe"=

"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Valve\\hlds.exe"=

"c:\\Programme\\Valve\\hl.exe"=

"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=

"c:\\Programme\\Football Manager 2010\\fm.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5353:TCP"= 5353:TCP:Adobe CSI CS4

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
 

R0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [29.05.2009 02:55 10368]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.05.2009 15:33 721904]

R0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\drivers\tdrpm258.sys [21.11.2009 01:42 911680]

R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [21.11.2009 01:43 2480048]

R2 GS In-Game Service;GS In-Game Service;c:\programme\GameTracker\GSInGameService.exe [15.01.2010 05:48 1643872]

R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [16.04.2010 19:26 246520]

R2 pgsql-8.2;PostgreSQL Database Server 8.2;c:\programme\PostgreSQL\8.2\bin\pg_ctl.exe runservice -w -N "pgsql-8.2" -D "c:\programme\PostgreSQL\8.2\data\" --> c:\programme\PostgreSQL\8.2\bin\pg_ctl.exe runservice -w -N pgsql-8.2 [?]

R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [21.11.2009 01:43 160288]

R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14.01.2008 12:06 21632]

S2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [22.07.2009 04:45 234888]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [28.05.2009 23:53 1684736]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

vvdsvc        REG_MULTI_SZ           vvdsvc

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm

FF - ProfilePath - c:\dokumente und einstellungen\Homer\Anwendungsdaten\Mozilla\Firefox\Profiles\5qsrcp41.default\

FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu

FF - prefs.js: browser.startup.homepage - www.google.de

FF - component: c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\FFContextMenuY\components\FFContextMenu.dll

FF - plugin: c:\dokumente und einstellungen\Homer\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npyaxmpb.dll

FF - plugin: c:\windows\system32\C2MP\npdivx32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-07-16 20:15

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spua.sys >>UNKNOWN [0x8B2C3938]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xb810cf28

\Driver\ACPI -> ACPI.sys @ 0xb7e65cb8

\Driver\atapi -> atapi.sys @ 0xb7dfab40

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

NDIS: Bluetooth-Gerät (PAN) #4 -> SendCompleteHandler -> NDIS.sys @ 0xb7d03bb0

 PacketIndicateHandler -> NDIS.sys @ 0xb7cf2a0d

 SendHandler -> NDIS.sys @ 0xb7d06b40

user & kernel MBR OK 
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Cryptography\RNG*]

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

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

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(3412)

c:\windows\system32\msi.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\nvsvc32.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\RUNDLL32.EXE

c:\windows\RTHDCPL.EXE

c:\programme\Microsoft ActiveSync\wcescomm.exe

c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

c:\progra~1\MICROS~1\rapimgr.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\PostgreSQL\8.2\bin\pg_ctl.exe

c:\programme\PostgreSQL\8.2\bin\postgres.exe

c:\programme\PostgreSQL\8.2\bin\postgres.exe

c:\programme\PostgreSQL\8.2\bin\postgres.exe

c:\programme\PostgreSQL\8.2\bin\postgres.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-07-16  20:19:46 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-07-16 18:19

ComboFix2.txt  2010-07-15 18:16
 

Vor Suchlauf: 14 Verzeichnis(se), 834.381.578.240 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 834.357.809.152 Bytes frei
 

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4

- - End Of File - - D3D5E25185804A3FB8B6533D434508CC

Hey, grad hat mein Antivir noch folgendes ausgespuckt:
In der Datei 'C:\System Volume Information\_restore{546E2CFD-F7D9-46AE-B22F-936C3E0072FA}\RP1\A0000033.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Dann bin ich wohl doch nocht nicht übern Berg ? :-)

Ich brauch die beiden Quarantäneordner von Combofix und OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Ordner C:\Qoobox in eine Datei zippen
4.) Beide erstellten ZIP-Dateien hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
5.) Wenns erfolgreich war Bescheid sagen
6.) Erst dann wieder den Virenscanner einschalten

Zitat:

In der Datei 'C:\System Volume Information\_restore{546E2CFD-F7D9-46AE-B22F-936C3E0072FA}\RP1\A0000033.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

Ich hab noch nicht gesagt dass wir fertig sind! Außerdem ist der Fund "nur" in der Systemwiederherstellung, wenn Du diese deaktivierst, ist das weg.

Habe die beiden Files soeben hochgeladen.
Antivir ist noch aus.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Joa übern Berg heisst ja nicht, das es erledigt ist :-)

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 00:20:54 on 18.07.2010
 

OS: Windows XP Professional Service Pack 3 (Build 2600)

Default Browser: Mozilla Corporation Firefox 3.5.10
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl

"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl

"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl

"vp6dec_settings.cpl" - ? - C:\WINDOWS\system32\vp6dec_settings.cpl  (File found, but it contains no detailed information)

"vp7dec_settings.cpl" - ? - C:\WINDOWS\system32\vp7dec_settings.cpl  (File found, but it contains no detailed information)
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys

"Acronis Try&Decide and Restore Points filter (build 258)" (tdrpman258) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tdrpm258.sys

"afcdp" (afcdp) - "Acronis" - C:\WINDOWS\System32\DRIVERS\afcdp.sys

"Antwort für Verbindungsschicht-Topologieerkennung" (rspndr) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\rspndr.sys

"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)

"BCM42RLY" (BCM42RLY) - "Broadcom Corporation" - C:\WINDOWS\System32\BCM42RLY.SYS

"Bluetooth-Porttreiber" (BTHPORT) - "Microsoft Corporation" - C:\WINDOWS\System32\Drivers\BTHport.sys

"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys  (File found, but it contains no detailed information)

"GTNDIS5 NDIS Protocol Driver" (GTNDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\system32\GTNDIS5.SYS

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"Linksys Wireless-G PCI Adapter Driver" (RT2500) - "Ralink Technology Inc." - C:\WINDOWS\System32\DRIVERS\RT2500.sys

"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys

"Ramdisk Driver" (RRamdisk) - "gavotte" - C:\WINDOWS\System32\DRIVERS\rramdisk.sys

"Service for Realtek AC97 Audio (WDM)" (ALCXWDM) - ? - C:\WINDOWS\System32\drivers\ALCXWDM.SYS  (File not found)

"speedfan" (speedfan) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\speedfan.sys

"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)

"truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\WINDOWS\System32\drivers\truecrypt.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

"Windows Driver Foundation - User-mode Driver Framework Platform Driver" (WudfPf) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\WudfPf.sys

"Windows Driver Foundation - User-mode Driver Framework Reflector" (WudfRd) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\wudfrd.sys
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install

>{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Windows Media Player" - "Microsoft Corporation" - C:\WINDOWS\inf\unregmp2.exe /ShowWMP

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{0561EC90-CE54-4f0c-9C55-E226110A740C} "Haali Column Provider" - ? - C:\WINDOWS\system32\mmfinfo.dll  (File found, but it contains no detailed information)

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----

{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis Secure Zone" - "Acronis" - C:\Programme\TrueImageHome\tishell.dll

{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - C:\Programme\TrueImageHome\tishell.dll

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll

{62AE1F9A-126A-11D0-A14B-0800361B1103} "Directory Context Menu Verbs" - "Microsoft Corporation" - C:\WINDOWS\system32\dsuiext.dll

{0D45D530-764B-11d0-A1CA-00AA00C16E65} "Directory Property UI" - "Microsoft Corporation" - C:\WINDOWS\system32\dsuiext.dll

{0561EC90-CE54-4f0c-9C55-E226110A740C} "Haali Column Provider" - ? - C:\WINDOWS\system32\mmfinfo.dll  (File found, but it contains no detailed information)

{5574006C-28F5-4a65-A28C-74DE6BFBE0BB} "Haali Matroska Shell Property Page" - ? - C:\WINDOWS\system32\mmfinfo.dll  (File found, but it contains no detailed information)

{327669A0-59A7-4be9-B99E-1C9F3A57611A} "Haali Matroska Thumbnail Extractor" - ? - C:\WINDOWS\system32\mmfinfo.dll  (File found, but it contains no detailed information)

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Wcesview.dll

{D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? -   (File not found | COM-object registry key not found)

{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll

{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll

{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll

{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll

{35786D3C-B075-49b9-88DD-029876E11C01} "Portable Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll

{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} "Portable Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll

{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll

{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7} "SafeEraseObj Class" - "O&O Software GmbH" - C:\Programme\OO Software\SafeErase\oosesh.dll

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll

{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll

{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll

{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad )-----

{AAA288BA-9A4C-45B0-95D7-94D524869DB5} "WPDShServiceObj Class" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshserviceobj.dll
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{30528230-99f7-4bb4-88d8-fa1d4f56a2ab} "Installation Support" - "Yahoo! Inc." - C:\Programme\Yahoo!\Common\Yinsthelper.dll / C:\Programme\Yahoo!\Common\Yinsthelper.dll

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

{D4003189-95B1-4A2F-9A87-F2B03665960D} "VodClient Control Class" - ? - C:\WINDOWS\system32\nagasoft\vjocx.dll / hxxp://www.vexcast.com/download/vexcast.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\INetRepl.dll

{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\INetRepl.dll

"PartyPoker.com" - ? - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

<binary data> "Ask Toolbar" - "Ask.com" - C:\Programme\AskBarDis\bar\bin\askBar.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"Spb Backup Sync.lnk" - ? - C:\Programme\Spb Backup\SpbBackupSync.exe  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\Homer\Startmenü\Programme\Autostart\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\wcescomm.exe"

"Rainlendar2" - ? - C:\Programme\Rainlendar2\Rainlendar2.exe

"SpybotSD TeaTimer" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Acronis Scheduler2 Service" - "Acronis" - "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"AdobeCS4ServiceManager" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

"nwiz" - "NVIDIA Corporation" - nwiz.exe /install

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

"TrueImageMonitor.exe" - "Acronis" - C:\Programme\TrueImageHome\TrueImageMonitor.exe
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Acronis Nonstop Backup service" (afcdpsrv) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe

"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

"ASKUpgrade" (ASKUpgrade) - ? - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe  (File found, but it contains no detailed information)

"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Automatische Updates" (wuauserv) - "Microsoft Corporation" - C:\WINDOWS\system32\wuauserv.dll

"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Acresso Software Inc." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

"GS In-Game Service" (GS In-Game Service) - "ClanServers Hosting LLC" - C:\Programme\GameTracker\GSInGameService.exe

"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZinw12.dll

"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe

"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZipm12.dll

"Portable Media Serial Number Service" (WmdmPmSN) - "Microsoft Corporation" - C:\WINDOWS\system32\mspmsnsv.dll

"PostgreSQL Database Server 8.2" (pgsql-8.2) - "PostgreSQL Global Development Group" - C:\Programme\PostgreSQL\8.2\bin\pg_ctl.exe

"VJVodClientServices" (vvdsvc) - ? - C:\WINDOWS\system32\nagasoft\vjocx.dll

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Driver Foundation - User-mode Driver Framework" (WudfSvc) - "Microsoft Corporation" - C:\WINDOWS\System32\WUDFSvc.dll

"Windows Installer" (MSIServer) - "Microsoft Corporation" - C:\WINDOWS\system32\msiexec.exe

"Windows Media Player-Netzwerkfreigabedienst" (WMPNetworkSvc) - "Microsoft Corporation" - C:\Programme\Windows Media Player\WMPNetwk.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

"Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" (SharedAccess) - "Microsoft Corporation" - C:\WINDOWS\System32\ipnathlp.dll

"Windows-Zeitgeber" (W32Time) - "Microsoft Corporation" - C:\WINDOWS\system32\w32time.dll
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63} "Drahtlos" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll

{e437bc1c-aa7d-11d2-a382-00c04f991e27} "IP-Sicherheit" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll

{426031c0-0b47-4852-b0ca-ac3d37bfcb39} "QoS-Paketplaner" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll

{42B5FAAE-6536-11d2-AE5A-0000F87571E3} "Skripts" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----

"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

Code:

remover.exe fix \\.\PhysicalDrive0

Anschließend auch auf die zweite Platte damit losgehen:

Code:

remover.exe fix \\.\PhysicalDrive1

Ok, zur Kontrolle die remover bitte per doppelklick ausführen und die Ausgabe hier wieder posten.

Aber Antivir kann ich schon wieder anschalten ?

btw: wenn ich euch Spenden zukommen lasse, was genau wird dann damit gemacht ?

Zitat:

btw: wenn ich euch Spenden zukommen lasse, was genau wird dann damit gemacht ?

Das Geld verprassen wir für Alk! :blabla:
Nein, der Admin nutzt es um die hohen Betriebskosten zu decken :rolleyes:

Ok, dann weiss ich bescheid.
Bin ich dann soweit durch ?

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!