Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA (https://www.trojaner-board.de/89053-avg-9-finden-sheuer-aqum-dropper-sheur-aqra.html)

ich56 03.08.2010 12:23
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA
 
Hallo,
Ich habe ein Problem mit meinem Rechner. Als AntiViren Software verwende ich AVG Free 9. Dieses Programm hat mir nun gesagt das fast mein ganzer Rechner mit dem SHeur AQUM, AQRA Trojaner infiziert sei. Ich bin nun natürlich aufgeschreckt. Habe dann erstmal AVG deaktiviert und habe den Online Scanner von F-Secure laufen lassen. Dieser hat aber außer Tracking Cookies nichts gefunden. Damit habe ich mich aber nicht zufrieden gegeben. Habe dann noch Spybot laufen lassen. Dieser hat nur Tracking Cookies gefunden und das von mir deaktivierte Sicherheitscenter von XP. Auch Malwarebytes hat nichts gefunden. Habe sogar AntiTrojan laufen lassen. Wieder mit negativem Ergebnis.
Ich habe auch keine ungewöhnliche Netzwerkaktivität.
Nun habe ich ein Hijack This Log gemacht und auch Rsit laufen lassen.
Diese Logs hänge ich mal an den Post an in der Hoffnung das einer von euch mir halfen kann.
MfG

Noch ein Nachtrag.
Ich habe soeben festgestellt, das immer wenn ich ein Programm starte, egal welches, der Internet Explorer als Prozess mit startet. Er startet nur als Prozess, nicht als Programmfenster. Ich kann den Prozess im Taskmanager manuell, beenden und das normal gestartete Programm läuft normal weiter.
Wenn ich das von mir gestartete Programm beende ohne den IE Prozess beendet zu haben, läuft der Ie Prozess weiter.

Edit: Ich habe soeben festgestellt, das mein Lautstärke Mixer nicht mehr funktioniert. Laut Hardware Manager ist dieser aber installiert und funktioniert. Nur ist bei Audioeigenschaften alles deaktiviert und an den Mixer komme ich auch nicht heran.
Habe hier im Forum schon ähnliche Fälle gelesen, aber ich höre weder Klickgeräusche noch Schlachtmusik. Bluescreens habe ebenfalls keine und wenn ich den IE Prozess kille bleibt er auch gekillt, bis zum start des nächsten Programms.

Hmm, Wieso kann ich meinen eigenen erstellten Beitrag nicht selbst editieren? o_O

Egal. Habe eben mal den BootKit Remover ausgeführt.

Hier das Log:
Code:
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
 
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf
 
    Size  Device Name          MBR Status
 --------------------------------------------
  1397 GB  \\.\PhysicalDrive0  Unknown boot code
 
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
 
 
Done;
Press any key to quit...

Larusso 03.08.2010 18:06
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes


Schritt 2

Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.
  • Speichere die Datei am Desktop.
  • Doppelklick auf die load.exe
  • Belasse die Häckchen wie sie sind.
  • Schließe nun alle offenen Programme.
  • Klicke auf Download
  • Bitte während dem Download nicht in das Fenster klicken.
  • Folge den Anweisungen auf dem Bildschirm.
  • Wenn das Fenster Status aufpoppt klicke Start.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.

ich56 04.08.2010 17:39
Hallo.
Habe alle Schritte nach Anleitung ausgeführt. Es folgen die Logs.
Nach dem Reboot für die reinigung durch MBAM kam beim Windows Start folgende Fehlermeldung.
"Rundll
Fehler beim laden von C:\Windows\dftsonp.dll
Das angegebene Modul wurde nicht gefunden."
Mein Audiomixer funktioniert wieder. Leider startet der iexplore.exe Prozess immer noch im Hintergrund bei jedem Programm welches gestartet wird.

Die Logs habe ich in den Anhang gelegt da ich per Code einfügen sonst nicht posten konnte. Die OTL.txt habe ich in ein zip File gepackt da sie zum anhängen sonst zu groß gewesen wäre.

Larusso 04.08.2010 19:31
Zitat:
Zitat von larusso
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
:schmoll:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

ich56 05.08.2010 12:33
Hallo, habe Combofix ausgeführt. Allerdings habe ich bei den ersten 2 Versuchen immer die Fehlermeldung bekommen, das Combo-Fix.exe kompromittiert sei und und der Vorgang nicht fortgesetzt werden kann. Die Combo-Fix Exe hat sich daraufhin selbst gelöscht. Es wurde beim Ausführen der exe auch eine weitere exe Datei angelegt die "Combo-FixSrv.exe" hieß.
Habe dann noch einmal Malwarebyte laufen lassen und die Datei "dftsonp.dll" war wieder vorhanden. Habe die mit MBAM entfernt, den rechner neu gestartet und eine neu heruntergelandene Version von Combo-Fix ausgeführt. Daraufhin hat Combo-Fix funktioniert. Die datei "Desktoplayer.exe" ist weiterhin vorhanden. Es ist auch von der normalen "Explorer.exe" eine "ExplorerSrv.exe" vorhanden. Auch startet weiterhin bei jedem beliebigen Programmstart der "Iexplore.exe" Prozess.
So nun aber das Combofix Log.

Code:
ComboFix 10-08-04.05 - MP 05.08.2010  12:31:50.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2889 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\MP.MEDIAPC.000\Desktop\Combo-Fix.exe
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Internet Explorer\dmlconf.dat
c:\programme\Microsoft\DesktopLayer.exe
c:\programme\riva1\podm.exe
c:\programme\Xvid\StatsReader.exe
c:\windows\regedit.com
c:\windows\system32\taskmgr.com
c:\programme\Microsoft\DesktopLayer.exe . . . . Nicht in der Lage zu löschen

Infizierte Kopie von c:\windows\system32\drivers\redbook.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))
.

2010-08-04 09:37 . 2010-08-04 09:38        --------        d-----w-        c:\programme\ERUNT
2010-08-04 09:32 . 2010-08-04 09:32        --------        d-----w-        c:\programme\7-Zip
2010-08-02 15:34 . 2010-08-02 15:34        --------        d-----w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\TrojanHunter
2010-08-02 14:38 . 2010-08-03 12:43        --------        d-----w-        c:\programme\TrojanHunter 5.3
2010-08-02 08:38 . 2010-08-05 10:38        --------        d-----w-        c:\programme\riva1
2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\VDLL.DLL
2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\system32\runouce.exe
2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\rundll16.exe
2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\RUNDL132.EXE
2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\logo1_.exe
2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\logo_1.exe
2010-08-01 23:31 . 2010-08-01 23:31        632064        ----a-w-        c:\windows\system32\msvcr80.dll
2010-08-01 23:31 . 2010-08-01 23:31        554240        ----a-w-        c:\windows\system32\msvcp80.dll
2010-08-01 23:31 . 2010-08-01 23:31        34048        ----a-w-        c:\windows\system32\eEmpty.exe
2010-08-01 23:31 . 2008-04-14 05:53        140800        ----a-w-        c:\windows\system32\T.COM
2010-08-01 23:31 . 2008-04-14 05:53        153600        ----a-w-        c:\windows\R.COM
2010-08-01 23:31 . 2010-08-01 23:31        --------        d-----w-        c:\programme\Gemeinsame Dateien\MicroWorld
2010-08-01 23:31 . 2010-08-01 23:31        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld
2010-08-01 23:02 . 2010-08-01 23:04        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-08-01 22:59 . 2010-08-01 22:59        --------        d-----w-        C:\rsit
2010-08-01 22:59 . 2010-08-01 22:59        --------        d-----w-        c:\programme\trend micro
2010-08-01 22:05 . 2010-08-01 22:05        --------        d-----w-        C:\$AVG
2010-08-01 22:05 . 2010-08-01 22:05        --------        d-----w-        c:\programme\AVG
2010-08-01 21:03 . 2010-08-01 21:03        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\F-Secure
2010-08-01 20:28 . 2010-08-01 20:28        --------        d-----w-        c:\windows\system32\NtmsData
2010-08-01 20:06 . 2010-08-01 20:06        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java
2010-08-01 20:05 . 2010-08-01 20:05        423656        ----a-w-        c:\windows\system32\deployJava1.dll
2010-08-01 20:05 . 2010-08-01 20:05        --------        d-----w-        c:\programme\Java
2010-08-01 20:05 . 2010-08-01 20:05        79488        ----a-w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Sun\Java\jre1.6.0_21\gtapi.dll
2010-08-01 19:18 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-01 19:18 . 2010-08-04 09:50        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-01 19:18 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-01 17:25 . 2010-08-05 10:39        --------        d-----w-        c:\programme\Microsoft

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-05 10:41 . 2006-02-28 12:00        511794        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-05 10:41 . 2006-02-28 12:00        104128        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-05 10:40 . 2009-08-16 15:26        1397        ----a-w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\ASUS\Xonar D2 Audio Center\AsusAudioCenter.dll
2010-08-05 10:40 . 2010-08-05 10:17        59392        ----a-w-        c:\windows\ExplorerSrv.exe
2010-08-05 10:40 . 2010-08-05 10:40        59392        ----a-w-        c:\windows\system32\rundll32Srv.exe
2010-08-05 10:38 . 2009-01-22 18:43        --------        d-----w-        c:\programme\Xvid
2010-08-05 10:17 . 2009-04-08 17:32        --------        d-----w-        c:\programme\Opera
2010-08-04 09:35 . 2009-08-30 10:01        --------        d-----w-        c:\programme\DVBViewer TE2
2010-08-04 09:35 . 2009-01-18 18:03        --------        d-----w-        c:\programme\QuickTime
2010-08-04 09:27 . 2009-01-18 01:04        --------        d-----w-        c:\programme\DAEMON Tools Lite
2010-08-04 09:27 . 2009-08-16 17:53        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\SlySoft
2010-08-04 09:27 . 2009-04-03 19:56        --------        d-----w-        c:\programme\SlySoft
2010-08-02 08:14 . 2009-06-21 21:19        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-08-01 18:07 . 2009-01-24 14:31        238080        ----a-w-        C:\utorrentXP.exe
2010-08-01 18:04 . 2009-10-24 17:31        --------        d-----w-        c:\programme\SUPERAntiSpyware
2010-08-01 17:37 . 2009-08-16 21:47        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Temp
2010-08-01 17:28 . 2009-02-01 15:40        632320        ----a-w-        C:\CDmage1-01-5.exe
2010-08-01 17:26 . 2010-01-16 15:54        --------        d-----w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\BitTorrent
2010-08-01 17:20 . 2009-08-18 17:34        --------        d-----w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\vlc
2010-07-11 17:59 . 2009-10-03 12:30        --------        d-----w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Azureus
2006-05-03 09:06 . 2009-08-16 17:07        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-08-16 17:07        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-08-16 17:07        216064        --sh--r-        c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2010-08-01 139264]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-01 159744]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-08-01 475136]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-08-16 198160]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2009-11-19 75048]
"Cmaudio8788GX"="c:\windows\system\HsMgr.exe" [2008-07-11 200704]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2008-07-21 87336]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-07-16 91432]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472]
"iMON"="c:\programme\SOUNDGRAPH\iMON\iMON.exe" [2010-08-02 2662400]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

c:\dokumente und einstellungen\MP.MEDIAPC.000\Startmen\Programme\Autostart\
Verknpfung mit SkystarIR.exe.lnk - c:\programme\DVBViewer TE2\SkystarIR.exe [2009-8-30 248320]

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-8-16 805392]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2010-08-01 139264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\programme\microsoft\desktoplayer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21        548352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10        35696        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\utorrentXP.exe"=
"c:\\Programme\\DVBViewer TE2\\SkystarIR.exe"=
"c:\\Programme\\DVBViewerTE\\ts_winlirc.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Corel\\DVD9\\WinDVD.exe"=
"c:\\Programme\\Vuze\\Azureus.exe"=
"c:\\Programme\\DVBViewerTE\\SkystarIR.exe"=
"d:\\MediaPortal TV Server\\TvService.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\DVBViewer TE2\\ts_winlirc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"31456:TCP"= 31456:TCP:tvservice

R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [16.08.2009 22:09 3026]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [12.10.2009 21:24 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.10.2009 21:24 74480]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2009/12/07 21:07];c:\programme\CyberLink\PowerDVD8\000.fcl [28.08.2009 19:36 87536]
R2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032]
R2 TVService;TVService;d:\mediaportal tv server\TvService.exe [16.08.2009 22:26 188416]
R3 cmudaxp;ASUS Xonar DX Audio Interface;c:\windows\system32\drivers\cmudaxp.sys [23.08.2009 18:10 1983424]
R3 MTSBDA;TechniSat Mantis BDA Driver;c:\windows\system32\drivers\MtsBda.sys [16.08.2009 18:00 253968]
R3 MtsHID;TechniSat Mantis BDA HID Driver;c:\windows\system32\drivers\MtsHID.sys [16.08.2009 18:02 23568]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [12.10.2009 21:24 7408]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.08.2009 19:19 721904]
.
.
------- Zusätzlicher Suchlauf -------
.
Trusted Zone: corel.com
Trusted Zone: corel.com\www
Trusted Zone: intervideo.com
Trusted Zone: intervideo.com\www
TCP: {EF68116D-EB37-463C-95E7-57350A341398} = 192.168.0.1
DPF: {72376E32-8AF2-473F-BE32-E5D0F39C865D} - hxxp://www.cyberlink.com/prog/aacs/UpdateAdvisor.cab
FF - ProfilePath - c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Mozilla\Firefox\Profiles\irjily61.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-WinampAgent - c:\programme\Winamp\winampa.exe
HKLM-Run-Cmaudio8788 - cmicnfgp.cpl
MSConfigStartUp-AnyDVD - c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe
MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe
MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\daemon.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-05 12:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3172)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\programme\Internet Explorer\IEXPLORE.EXE
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\programme\CyberLink\Shared files\RichVideo.exe
c:\windows\system32\locator.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\wscntfy.exe
c:\programme\ASUS Xonar DX Audio\Customapp\Program\ASUSAUDIOCENTER.EXE
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-05  12:43:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-05 10:43

Vor Suchlauf: 36 Verzeichnis(se), 12.574.765.056 Bytes frei
Nach Suchlauf: 39 Verzeichnis(se), 12.565.692.416 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 8591452FA6BD5C2C113D0DB7CD64BB51

Larusso 05.08.2010 13:56
Ich bitte dich folgendes nochmal zu lesen !!!
Zitat:
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen
Code:
c:\windows\ExplorerSrv.exe
c:\windows\system32\rundll32Srv.exe
Also gehe wie hier beschrieben vor:
  • Öffne diese Webseite: virustotal
  • Klicke auf "Durchsuchen"
  • Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
  • "Senden der Datei"
  • Warte, bis der Scandurchlauf aller Virenscanner beendet ist
  • Auf "Compact" klicken (Links oben zu finden)
  • Ein neuer Tab dürfte sich öffnen.
  • Den Inhalt komplett kopieren und hier einfügen
Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

ich56 05.08.2010 15:51
Habe beide Dateien gescannt. Hier die Ergebnisse:
ExplorerSrv.exe

Datei ExplorerSrv.exe empfangen 2010.08.05 14:44:46 (UTC)
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2010.08.05.03;2010.08.05;Packed/Win32.Krap
AntiVir;8.2.4.32;2010.08.05;TR/Agent.HM.838
Antiy-AVL;2.0.3.7;2010.08.03;-
Authentium;5.2.0.5;2010.08.05;-
Avast;4.8.1351.0;2010.08.05;Win32:Rootkit-gen
Avast5;5.0.332.0;2010.08.05;Win32:Rootkit-gen
AVG;9.0.0.851;2010.08.05;SHeur3.AQUM
BitDefender;7.2;2010.08.05;Gen:Variant.Zbot.13
CAT-QuickHeal;11.00;2010.08.05;-
ClamAV;0.96.0.3-git;2010.08.05;-
Comodo;5654;2010.08.05;Heur.Suspicious
DrWeb;5.0.2.03300;2010.08.05;Trojan.Packed.20343
Emsisoft;5.0.0.36;2010.08.05;Trojan-PWS.Zbot!IK
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7768;2010.08.05;-
F-Prot;4.6.1.107;2010.08.05;W32/Zbot.AM.gen!Eldorado
F-Secure;9.0.15370.0;2010.08.05;Gen:Variant.Zbot.13
Fortinet;4.1.143.0;2010.08.05;-
GData;21;2010.08.05;Gen:Variant.Zbot.13
Ikarus;T3.1.1.84.0;2010.08.05;Trojan-PWS.Zbot
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.05;Packed.Win32.Krap.hm
McAfee;5.400.0.1158;2010.08.05;-
McAfee-GW-Edition;2010.1;2010.08.05;-
Microsoft;1.6004;2010.08.05;Trojan:Win32/Ramnit.A
NOD32;5343;2010.08.05;a variant of Win32/Kryptik.FUC
Norman;6.05.11;2010.08.05;-
nProtect;2010-08-05.01;2010.08.05;Gen:Variant.Zbot.13
Panda;10.0.2.7;2010.08.05;Suspicious file
PCTools;7.0.3.5;2010.08.04;-
Prevx;3.0;2010.08.05;-
Rising;22.59.03.04;2010.08.05;-
Sophos;4.56.0;2010.08.05;Mal/Zbot-U
Sunbelt;6688;2010.08.05;Trojan.Win32.Generic!BT
SUPERAntiSpyware;4.40.0.1006;2010.08.05;-
Symantec;20101.1.1.7;2010.08.05;-
TheHacker;6.5.2.1.332;2010.08.05;-
TrendMicro;9.120.0.1004;2010.08.05;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.05;-
VBA32;3.12.12.8;2010.08.04;-
ViRobot;2010.8.4.3971;2010.08.05;-
VirusBuster;5.0.27.0;2010.08.05;-

weitere Informationen
File size: 59392 bytes
MD5...: 409018c17f571dc547a9aa36ed6d7002
SHA1..: 2ca8e7e9434872c181e099a6db66635509e3ee96
SHA256: d106fea3c16b93e68996e32d7dfb14332eff9da211af1840f9cddf5e00da8d0c
ssdeep: 1536:mUJ6qp2C7R1vCcUJi066T1ARPzMCG5Sey+rFLoNI:17jKFAbMdae5oK<BR>
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x2bb60<BR>timedatestamp.....: 0x45161d74 (Sun Sep 24 05:53:56 2006)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x1e000 0xe000 0xde00 7.95 cfdc7eefa18b830ca6b4d63c7f5db861<BR>.rsrc 0x2c000 0x1000 0x600 4.25 7fa879342a7de624e55c6dbb57205ea0<BR><BR>( 2 imports ) <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<BR>&gt; USER32.DLL: GetMenu<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
packers (F-Prot): UPX
sigcheck:<BR>publisher....: SOFTWIN S.R.L.<BR>copyright....: 4170-9033<BR>product......: _______<BR>description..: BitDefender Management Console<BR>original name: gmj.exe<BR>internal name: ____<BR>file version.: 83.126.104.90<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

rundll32Srv.exe

Datei rundll32Srv.exe empfangen 2010.08.05 14:49:41 (UTC)
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2010.08.05.03;2010.08.05;Packed/Win32.Krap
AntiVir;8.2.4.32;2010.08.05;TR/Agent.HM.838
Antiy-AVL;2.0.3.7;2010.08.03;-
Authentium;5.2.0.5;2010.08.05;-
Avast;4.8.1351.0;2010.08.05;Win32:Rootkit-gen
Avast5;5.0.332.0;2010.08.05;Win32:Rootkit-gen
AVG;9.0.0.851;2010.08.05;SHeur3.AQUM
BitDefender;7.2;2010.08.05;Gen:Variant.Zbot.13
CAT-QuickHeal;11.00;2010.08.05;-
ClamAV;0.96.0.3-git;2010.08.05;-
Comodo;5654;2010.08.05;Heur.Suspicious
DrWeb;5.0.2.03300;2010.08.05;Trojan.Packed.20343
Emsisoft;5.0.0.36;2010.08.05;Trojan-PWS.Zbot!IK
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7768;2010.08.05;-
F-Prot;4.6.1.107;2010.08.05;W32/Zbot.AM.gen!Eldorado
F-Secure;9.0.15370.0;2010.08.05;Gen:Variant.Zbot.13
Fortinet;4.1.143.0;2010.08.05;-
GData;21;2010.08.05;Gen:Variant.Zbot.13
Ikarus;T3.1.1.84.0;2010.08.05;Trojan-PWS.Zbot
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.05;Packed.Win32.Krap.hm
McAfee;5.400.0.1158;2010.08.05;-
McAfee-GW-Edition;2010.1;2010.08.05;-
Microsoft;1.6004;2010.08.05;Trojan:Win32/Ramnit.A
NOD32;5343;2010.08.05;a variant of Win32/Kryptik.FUC
Norman;6.05.11;2010.08.05;-
nProtect;2010-08-05.01;2010.08.05;Gen:Variant.Zbot.13
Panda;10.0.2.7;2010.08.05;Suspicious file
PCTools;7.0.3.5;2010.08.04;-
Prevx;3.0;2010.08.05;-
Rising;22.59.03.04;2010.08.05;-
Sophos;4.56.0;2010.08.05;Mal/Zbot-U
Sunbelt;6688;2010.08.05;Trojan.Win32.Generic!BT
SUPERAntiSpyware;4.40.0.1006;2010.08.05;-
Symantec;20101.1.1.7;2010.08.05;-
TheHacker;6.5.2.1.332;2010.08.05;-
TrendMicro;9.120.0.1004;2010.08.05;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.05;-
VBA32;3.12.12.8;2010.08.04;-
ViRobot;2010.8.4.3971;2010.08.05;-
VirusBuster;5.0.27.0;2010.08.05;-

weitere Informationen
File size: 59392 bytes
MD5...: 409018c17f571dc547a9aa36ed6d7002
SHA1..: 2ca8e7e9434872c181e099a6db66635509e3ee96
SHA256: d106fea3c16b93e68996e32d7dfb14332eff9da211af1840f9cddf5e00da8d0c
ssdeep: 1536:mUJ6qp2C7R1vCcUJi066T1ARPzMCG5Sey+rFLoNI:17jKFAbMdae5oK<BR>
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x2bb60<BR>timedatestamp.....: 0x45161d74 (Sun Sep 24 05:53:56 2006)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x1e000 0xe000 0xde00 7.95 cfdc7eefa18b830ca6b4d63c7f5db861<BR>.rsrc 0x2c000 0x1000 0x600 4.25 7fa879342a7de624e55c6dbb57205ea0<BR><BR>( 2 imports ) <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<BR>&gt; USER32.DLL: GetMenu<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
packers (F-Prot): UPX
sigcheck:<BR>publisher....: SOFTWIN S.R.L.<BR>copyright....: 4170-9033<BR>product......: _______<BR>description..: BitDefender Management Console<BR>original name: gmj.exe<BR>internal name: ____<BR>file version.: 83.126.104.90<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

Larusso 05.08.2010 16:13
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
http://www.trojaner-board.de/89053-avg-9-finden-sheuer-aqum-dropper-und-sheur-aqra.html#post550415

KillAll::
Collect::
c:\windows\ExplorerSrv.exe
c:\windows\system32\rundll32Srv.exe

Rootkit::
c:\programme\Microsoft\DesktopLayer.exe

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

ich56 05.08.2010 16:28
Soll ich die http Adresse die in der Codebox steht, mit in die Text Datei schreiben?

Larusso 05.08.2010 16:55
Zitat:
Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Ist daran irgendwas unverständlich ?

ich56 05.08.2010 17:07
Habe die Text Datei nach Anweisung erstellt. Habe die Combofix.exe heruntergeladen und die erstellte Txt Datei in die Combofix exe hinein gezogen. Combofix startet, bricht dann aber mit der Meldung ab das es kompromittiert ist und löscht sich dann selbstständig

Larusso 05.08.2010 17:10
Okay, was spricht gegen ein neu aufsetzen ?

Du hast einen FileInfector am System. Dieser infiziert anscheinend alle .exe Dateien.
Ich kann versuchen, dies wieder gerade zu biegen, jedoch wenn ich nur eine .exe übersehe, geht der Spass von vorne los. Ein sehr lange Prozedur mit ungewissen Ausgang. Deine Entscheidung

ich56 05.08.2010 17:35
Ich würde eine komplette Neuinstallation nur als allerletzten Ausweg machen wollen.
Ich bin dafür den Weg ohne Neuinstallation zu gehen.

Larusso 05.08.2010 18:02
Okay, deine Entscheidung.
Starte kein Programm. Keine .exe nichts, ausser meine Programme,bis ich sage ok

Schritt 1

Speichere folgendes als Kill.txt unter C:\WIndows (Das ist wichtig )
Code:
set allowallpaths = true
cd "%systemdrive%"
set var="%userprofile%\desktop\infected"
md "%userprofile%\desktop\infected"
copy "c:\programme\Microsoft\DesktopLayer.exe" "%var%\desktoplayer.exe.vir"
copy "c:\windows\system32\rundll32Srv.exe" "%var%\rundll32Srv.exe.vir"
copy "c:\windows\ExplorerSrv.exe" "%var%\ExplorerSrv.exe.vir"
del c:\programme\Microsoft\DesktopLayer.exe
del c:\windows\system32\rundll32Srv.exe
del c:\windows\ExplorerSrv.exe
exit

Schritt 2

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut als COmbo.com auf dem Desktop (nicht woanders hin, das ist wichtig)!


Schritt 3

Drucke Dir folgendes wenn möglich aus. Du wirst jetzt keinen Zugriff auf das Internet haben.

Windows mit Wiederherstellungskonsole starten

Starte den Rechner neu auf. Du wirst nun im Bootmenü
Wiederherstellungskonsole
lesen. Diese auswählen

Danach findest Du ein schwarzes Fenster vor wo
C:\windows:> steht.

Hier gibst du batch kill.txt ein und drückst enter. Solltest Du gefragt werden ob Du das wirklich löschen willst, bestätige mit Ja

Wenn das Skript erledigt ist, wird der Rechner neu starten. Drücke hier mehrmals die F8 Taste um in den abgesicherten Modus zu kommen.

Starte nun die Combo.com. Lass es in Ruhe laufen.

Poste mir diese Logfile

ich56 06.08.2010 10:16
Hallo, habe die kill.txt in C:\Windows erstellt.
Habe sie laut Anweisung in der Wiederherstellungskonsole ausgeführt.

Allerdings bekomme ich folgende Meldungen:

Zuerst:
Die angegebene Datei oder das Verzeichnis wurde nicht gefunden.
dann:
Der angegebene Parameter ist ungültig. geben sie /? für weitere Hilfe ein.
Dann kam noch
Keine passende datei gefunden.

Habe Combo.com daraufhin nicht ausgeführt.

Larusso 06.08.2010 11:20
okay, lass bitte Combofix im abgesicherten Modus laufen.

ich56 06.08.2010 11:38
habe Combofix im Abgesicherten Modus ausgeführt. Combofix wollte einen Neustart machen, hat dies auch getan, nur komme ich jetzt nicht mehr ins System. Weder in den Abgesicherten Modus noch in den normalen Modus. Ich bekomme jetzt beim starten jedesmal einen Bluescreen mit einer Stop Fehlermeldung. und einem Verweis auf die dmio.sys

Larusso 06.08.2010 11:39
Möglich eine CD zu brennen ?

ich56 06.08.2010 11:44
Ja, habe einen 2. Rechner zur Verfügung mit einem Brenner.

Larusso 06.08.2010 12:27
Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
    Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Poste mir bitte ausserdem den Fehlercode wenn Du den Rechner startest

ich56 06.08.2010 13:51
Hallo,
Habe die CD erstellt, habe von ihr gebootet und habe OTL ausgefuehrt.
Beim starten von OTL wurde die Registrz Abfrage nicht gestellt nur die die beiden Userprofile Abfragen kamen. Habe OTL ausgefuehrt indem ich auf Run Scan geklickt habe. Nach Abschluss des Scans wurde nur eine OTL.txt erstellt.
Deren Inhalt ist folgender.

file created on: 8/6/2010 4:40:20 PM - Run
OTLPE by OldTimer - Version 3.1.40.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 92.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 30.00 Gb Total Space | 12.68 Gb Free Space | 42.29% Space Free | Partition Type: NTFS
Drive D: | 30.00 Gb Total Space | 25.98 Gb Free Space | 86.61% Space Free | Partition Type: NTFS
Drive E: | 1337.26 Gb Total Space | 526.50 Gb Free Space | 39.37% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive X: | 433.24 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO
Current User Name: SYSTEM
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
Using ControlSet: ControlSet002

color=#E5671========== Win32 Services (SafeList) ==========color

SRV - [2009/01/07 17:17:44 | 000,188,416 | ---- | M] (Team MediaPortal) [Auto] -- D:\MediaPortal TV Server\TVService.exe -- (TVService)
SRV - [2008/11/25 02:31:10 | 029,263,712 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe -- (MSSQL$SQLEXPRESS) SQL Server (SQLEXPRESS)
SRV - [2008/11/25 02:31:07 | 000,239,968 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe -- (SQLBrowser)
SRV - [2008/11/25 02:31:07 | 000,045,408 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe -- (MSSQLServerADHelper)
SRV - [2008/11/24 16:31:12 | 000,087,904 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe -- (SQLWriter)
SRV - [2008/10/20 16:18:26 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
SRV - [2008/05/01 20:42:06 | 000,121,360 | ---- | M] (Logitech, Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2007/07/24 05:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2)
SRV - [2007/01/04 13:48:52 | 000,112,152 | R--- | M] (InterVideo) [Auto] -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr)


color=#E56717========== Driver Services (SafeList) ==========color

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - File not found [Kernel | On_Demand] -- C:\DOKUME~1\MPMEDI~1.000\LOKALE~1\Temp\catchme.sys -- (catchme)
DRV - [2009/11/04 12:15:30 | 004,423,168 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009/10/12 15:24:56 | 000,007,408 | R--- | M] ( SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | On_Demand] -- C:\Programme\SUPERAntiSpyware\SASENUM.SYS -- (SASENUM)
DRV - [2009/10/12 15:24:54 | 000,009,968 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV)
DRV - [2009/10/12 15:24:52 | 000,074,480 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL)
DRV - [2009/08/19 08:05:56 | 000,100,368 | ---- | M] (ATI Research Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2009/08/16 16:09:12 | 000,003,026 | ---- | M] (Logix4u) [Kernel | System] -- C:\WINDOWS\system32\drivers\hwinterface.sys -- (hwinterface)
DRV - [2009/08/16 13:19:47 | 000,721,904 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2008/09/01 13:44:26 | 001,983,424 | ---- | M] (C-Media Inc) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cmudaxp.sys -- (cmudaxp)
DRV - [2008/04/14 01:28:20 | 000,154,112 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\dmio.sys -- (dmio)
DRV - [2008/04/13 18:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2008/04/13 16:06:06 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008/02/28 21:13:36 | 000,079,120 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LMouKE.Sys -- (LMouKE)
DRV - [2008/02/28 21:13:24 | 000,036,880 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2008/02/28 21:13:16 | 000,035,344 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2008/02/28 21:12:56 | 000,063,120 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\L8042mou.Sys -- (L8042mou)
DRV - [2008/02/28 21:12:48 | 000,020,240 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\L8042Kbd.sys -- (L8042Kbd)
DRV - [2008/02/18 08:39:53 | 000,253,968 | R--- | M] (TechniSat Provide) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MtsBda.sys -- (MTSBDA)
DRV - [2008/02/18 08:39:53 | 000,023,568 | R--- | M] (TechniSat Provide) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MtsHID.sys -- (MtsHID)
DRV - [2008/01/03 10:10:16 | 000,105,856 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007/10/11 21:40:12 | 000,009,096 | ---- | M] (Advanced Micro Devices) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\amdide.sys -- (amdide)
DRV - [2007/06/29 08:47:34 | 000,034,304 | ---- | M] (AMD, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AmdLLD.sys -- (AmdLLD)
DRV - [2007/04/17 14:09:28 | 000,011,032 | ---- | M] (InterVideo) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\regi.sys -- (regi)
DRV - [2006/07/01 17:30:28 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2005/09/20 11:27:20 | 000,010,368 | ---- | M] (InterVideo, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\iviaspi.sys -- (Iviaspi)
DRV - [2004/12/22 09:51:06 | 000,018,090 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\iMON_PAD.sys -- (SGIR)
DRV - [2003/12/30 17:28:50 | 000,045,060 | ---- | M] (TG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TG_iMON.sys -- (SGHIDI)


color=#E56717========== Standard Registry (SafeList) ==========color


color=#E56717========== Internet Explorer ==========color

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


IE - HKU\MP.MEDIAPC.000_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


IE - HKU\systemprofile_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Programme\Real\RealPlayer\browserrecord [2009/08/16 13:16:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009/09/24 06:06:23 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010/08/01 16:05:57 | 000,000,000 | ---D | M]

[2010/08/03 07:09:11 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010/08/01 16:05:59 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010/08/01 16:05:46 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2009/08/24 15:25:19 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009/08/24 15:25:19 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009/08/24 15:25:19 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009/08/24 15:25:19 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009/08/24 15:25:19 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010/08/05 06:40:54 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O4 - HKLM..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe (AMD)
O4 - HKLM..\Run: [BDRegion] C:\Programme\CyberLink\Shared files\brs.exe (cyberlink)
O4 - HKLM..\Run: [Cmaudio8788GX] C:\WINDOWS\system\HsMgr.exe ()
O4 - HKLM..\Run: [combofix] C:\Combo\CF13435.cfx File not found
O4 - HKLM..\Run: [iMON] C:\Programme\SOUNDGRAPH\iMON\iMON.exe (SoundGraph, Inc.)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe (CyberLink Corp.)
O4 - HKLM..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKU\MP.MEDIAPC.000_ON_C..\Run: [Sgoqisukinasule] C:\WINDOWS\dftsonp.DLL (MaresWEB)
O4 - HKLM..\RunOnce: [combofix] C:\Combo\CF13435.cfx File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\MP.MEDIAPC\Startmenü\Programme\Autostart\Logitech . Produktregistrierung.lnk = C:\Programme\Gemeinsame Dateien\Logishrd\eReg\SetPoint\eReg.exe (Leader Technologies/Logitech)
O4 - Startup: C:\Dokumente und Einstellungen\MP.MEDIAPC\Startmenü\Programme\Autostart\SkystarIR.lnk = C:\Programme\DVBViewer TE2\SkystarIR.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Startmenü\Programme\Autostart\Verknüpfung mit SkystarIR.exe.lnk = C:\Programme\DVBViewer TE2\SkystarIR.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\LocalService.NT-AUTORITÄT.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\MP.MEDIAPC.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\MP.MEDIAPC.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\MP.MEDIAPC.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\NetworkService.NT-AUTORITÄT.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1250436985359 (WUWebControl Class)
O16 - DPF: {72376E32-8AF2-473F-BE32-E5D0F39C865D} hxxp://www.cyberlink.com/prog/aacs/UpdateAdvisor.cab (CUpdateAdvisorCtrl Object)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (c:\programme\microsoft\desktoplayer.exe) - c:\Programme\Microsoft\DesktopLayer.exe (SOFTWIN S.R.L.)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.dll - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/01/17 17:26:45 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009/01/18 16:52:50 | 002,018,243 | ---- | M] () - C:\AutoHotkey104706_Install.exe -- [ NTFS ]
O32 - AutoRun File - [2009/01/18 15:56:27 | 008,352,136 | ---- | M] (AutoIt Team) - C:\autoit-v3-setup.exe -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

color=#E56717========== Files/Folders - Created Within 30 Days ==========color

[2010/08/06 06:26:52 | 000,000,000 | ---D | C] -- C:\Combo
[2010/08/06 05:11:51 | 000,059,392 | ---- | C] (SOFTWIN S.R.L.) -- C:\WINDOWS\ExplorerSrv.exe
[2010/08/05 18:15:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\Anwendungsdaten\Identities
[2010/08/05 12:02:09 | 000,059,392 | ---- | C] (SOFTWIN S.R.L.) -- C:\WINDOWS\System32\controlSrv.exe
[2010/08/05 06:23:40 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010/08/05 06:20:20 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010/08/05 06:20:20 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010/08/05 06:20:20 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010/08/05 06:20:20 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010/08/05 05:58:50 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010/08/04 05:38:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010/08/04 05:37:23 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2010/08/04 05:32:20 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2010/08/04 05:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MFTools
[2010/08/03 07:16:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\Anwendungsdaten\Macromedia
[2010/08/03 07:16:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\Anwendungsdaten\Adobe
[2010/08/02 11:34:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\TrojanHunter
[2010/08/02 10:38:45 | 000,000,000 | ---D | C] -- C:\Programme\TrojanHunter 5.3
[2010/08/02 10:18:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\Anwendungsdaten\Real
[2010/08/02 08:06:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\Anwendungsdaten\Macromedia
[2010/08/02 08:06:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\Anwendungsdaten\Adobe
[2010/08/02 04:38:46 | 000,000,000 | ---D | C] -- C:\Programme\riva1
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe
[2010/08/01 19:31:30 | 000,632,064 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr80.dll
[2010/08/01 19:31:29 | 000,554,240 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp80.dll
[2010/08/01 19:31:28 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2010/08/01 19:31:27 | 000,153,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\R.COM
[2010/08/01 19:31:27 | 000,140,800 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\T.COM
[2010/08/01 19:31:25 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2010/08/01 18:59:20 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010/08/01 18:59:20 | 000,000,000 | ---D | C] -- C:\rsit
[2010/08/01 18:05:56 | 000,000,000 | ---D | C] -- C:\$AVG
[2010/08/01 18:05:27 | 000,000,000 | ---D | C] -- C:\Programme\AVG
[2010/08/01 16:28:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010/08/01 16:06:08 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010/08/01 16:05:57 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010/08/01 16:05:57 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010/08/01 16:05:57 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010/08/01 16:05:57 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010/08/01 16:05:57 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010/08/01 16:05:42 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010/08/01 15:18:36 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010/08/01 15:18:35 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010/08/01 15:18:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010/08/01 15:08:35 | 006,153,352 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\mbam-setup_146.exe
[2010/08/01 13:25:48 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft

color=#E56717========== Files - Modified Within 30 Days ==========color

[2010/08/06 15:28:04 | 000,233,472 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\NTUSER.DAT
[2010/08/06 06:34:44 | 000,262,144 | ---- | M] () -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\NTUSER.DAT
[2010/08/06 06:34:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010/08/06 06:34:40 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010/08/06 06:34:38 | 008,650,752 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.dat
[2010/08/06 06:34:38 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.ini
[2010/08/06 06:33:41 | 000,059,392 | ---- | M] (SOFTWIN S.R.L.) -- C:\WINDOWS\ExplorerSrv.exe
[2010/08/06 05:16:05 | 000,512,838 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010/08/06 05:16:05 | 000,494,300 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010/08/06 05:16:05 | 000,104,488 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010/08/06 05:16:05 | 000,091,138 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010/08/06 05:16:05 | 000,005,006 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010/08/06 04:56:44 | 003,815,943 | R--- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Combo.com
[2010/08/05 13:29:35 | 000,000,294 | RHS- | M] () -- C:\boot.ini
[2010/08/05 12:02:09 | 000,059,392 | ---- | M] (SOFTWIN S.R.L.) -- C:\WINDOWS\System32\controlSrv.exe
[2010/08/05 06:41:05 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010/08/05 06:40:54 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010/08/05 06:40:44 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010/08/05 06:40:44 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.bak
[2010/08/04 12:01:53 | 000,354,304 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\gmer.exe
[2010/08/04 05:37:23 | 000,000,626 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\NTREGOPT.lnk
[2010/08/04 05:37:23 | 000,000,607 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\ERUNT.lnk
[2010/08/04 05:28:50 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Gmer.zip
[2010/08/04 05:24:44 | 000,000,430 | ---- | M] () -- C:\WINDOWS\win.ini
[2010/08/04 05:24:44 | 000,000,223 | ---- | M] () -- C:\Boot.bak
[2010/08/04 05:13:16 | 000,410,784 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Load.exe
[2010/08/04 05:06:07 | 000,141,312 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MBRCheck.exe
[2010/08/02 10:38:51 | 000,059,392 | R--- | M] () -- C:\WINDOWS\System32\streamhlp.dll
[2010/08/01 20:38:11 | 003,139,829 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\pinfect.zip
[2010/08/01 20:32:42 | 000,000,000 | ---- | M] () -- C:\23990098.$$$
[2010/08/01 19:35:25 | 000,000,054 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2010/08/01 19:31:29 | 000,632,064 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr80.dll
[2010/08/01 19:31:28 | 000,554,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp80.dll
[2010/08/01 19:31:27 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2010/08/01 19:21:28 | 001,438,780 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\avg.csv
[2010/08/01 16:05:46 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010/08/01 16:05:46 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010/08/01 16:05:46 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010/08/01 16:05:46 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010/08/01 16:05:46 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010/08/01 15:08:35 | 006,153,352 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\mbam-setup_146.exe
[2010/08/01 14:07:41 | 000,238,080 | ---- | M] () -- C:\utorrentXP.exe
[2010/08/01 13:28:59 | 000,632,320 | ---- | M] () -- C:\CDmage1-01-5.exe
[2010/07/18 16:49:25 | 000,167,424 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

color=#E56717========== Files Created - No Company Name ==========color

[2010/08/06 04:56:44 | 003,815,943 | R--- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Combo.com
[2010/08/05 06:40:45 | 000,013,646 | ---- | C] () -- C:\WINDOWS\System32\wpa.bak
[2010/08/05 06:23:44 | 000,000,223 | ---- | C] () -- C:\Boot.bak
[2010/08/05 06:23:41 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010/08/05 06:20:20 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010/08/05 06:20:20 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010/08/05 06:20:20 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010/08/05 06:20:20 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010/08/05 06:20:20 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010/08/04 05:56:03 | 000,354,304 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\gmer.exe
[2010/08/04 05:37:23 | 000,000,626 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\NTREGOPT.lnk
[2010/08/04 05:37:23 | 000,000,607 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\ERUNT.lnk
[2010/08/04 05:28:50 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Gmer.zip
[2010/08/04 05:13:15 | 000,410,784 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Load.exe
[2010/08/04 05:05:54 | 000,141,312 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MBRCheck.exe
[2010/08/02 10:38:45 | 000,059,392 | R--- | C] () -- C:\WINDOWS\System32\streamhlp.dll
[2010/08/01 20:38:11 | 003,139,829 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\pinfect.zip
[2010/08/01 20:32:42 | 000,000,000 | ---- | C] () -- C:\23990098.$$$
[2010/08/01 19:31:39 | 000,000,054 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2010/08/01 19:31:28 | 000,000,522 | ---- | C] () -- C:\WINDOWS\System32\Microsoft.VC80.CRT.manifest
[2010/08/01 18:49:15 | 001,438,780 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\avg.csv
[2010/03/01 16:51:29 | 000,018,090 | ---- | C] () -- C:\WINDOWS\System32\drivers\iMON_PAD.sys
[2009/10/15 18:58:38 | 000,000,312 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009/08/23 14:48:56 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2009/08/23 12:11:00 | 000,000,164 | ---- | C] () -- C:\WINDOWS\Cmicnfgp.ini.cfl
[2009/08/23 12:10:36 | 000,003,465 | ---- | C] () -- C:\WINDOWS\Cmicnfgp.ini.cfg
[2009/08/23 12:10:26 | 000,000,522 | ---- | C] () -- C:\WINDOWS\cmudaxp.ini
[2009/08/23 09:40:22 | 008,650,752 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.dat
[2009/08/23 09:27:39 | 000,000,053 | ---- | C] () -- C:\WINDOWS\System32\cmasiop.ini
[2009/08/22 09:19:21 | 000,167,424 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/08/17 12:42:53 | 000,000,394 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\SciTE.session
[2009/08/16 15:19:48 | 000,000,215 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log
[2009/08/16 14:51:49 | 000,000,771 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\coreavc.ini
[2009/08/16 13:29:35 | 000,819,200 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009/08/16 13:29:35 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009/08/16 13:06:43 | 000,000,090 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2009/08/16 12:17:18 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/08/16 12:00:09 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2009/08/16 11:04:15 | 000,004,721 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009/08/16 11:04:12 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2009/08/16 10:52:26 | 000,060,416 | ---- | C] () -- C:\WINDOWS\System32\antiwpa.dll
[2009/08/16 10:37:41 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.ini
[2009/08/16 10:37:40 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.dat.LOG
[2009/08/16 10:37:00 | 000,233,472 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\NTUSER.DAT
[2009/08/16 10:37:00 | 000,020,480 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\ntuser.dat.LOG
[2009/08/16 10:37:00 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\ntuser.ini
[2009/08/16 10:36:38 | 000,262,144 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\NTUSER.DAT
[2009/08/16 10:36:38 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\ntuser.dat.LOG
[2009/08/16 10:36:38 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\ntuser.ini
[2008/11/06 12:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008/11/06 12:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008/11/06 12:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008/11/06 12:33:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006/02/28 08:00:00 | 000,154,112 | ---- | C] () -- C:\WINDOWS\System32\drivers\dmio.sys

color=#E56717========== LOP Check ==========color

[2009/08/16 13:56:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Amazon
[2009/08/16 11:26:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\ASUS
[2010/07/11 13:59:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Azureus
[2010/08/01 13:26:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\BitTorrent
[2009/12/29 22:25:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Canneverbe_Limited
[2010/02/05 17:21:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\DAEMON Tools Lite
[2009/08/16 11:58:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Leadertech
[2009/11/29 07:10:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\OpenOffice.org
[2009/08/17 12:37:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Opera
[2010/03/02 15:27:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\SOUNDGRAPH
[2009/12/31 16:23:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Strokes 4.0
[2010/08/02 11:34:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\TrojanHunter
[2010/01/14 19:00:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\uTorrent

color=#E56717========== Purity Check ==========color


< End of report >
--- --- ---
--- --- ---

Larusso 06.08.2010 15:56
[2009/08/16 10:52:26 | 000,060,416 | ---- | C] () -- C:\WINDOWS\System32\antiwpa.dll

Ist dieses Windows legal ? :schmoll:

ich56 06.08.2010 15:58
Ja, dieses Windows ist Legal.
Kann dir zur Not auch nen Foto der CD posten.

Larusso 06.08.2010 16:01
Wenn ich noch ein anzeichen finde, werde ich dezent sauer.

Hast du mit dem infizierten Rechner zugriff auf das internet via OTLPE ?

ich56 06.08.2010 16:04
Ja, habe mit dem infizierten Rechner zugriff auf das internet via OTLPE.

Larusso 06.08.2010 16:09
sehr gut :)

Das vereinfacht die sache etwas.

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen
Code:
C:\WINDOWS\system32\drivers\dmio.sys
C:\WINDOWS\dftsonp.DLL
C:\WINDOWS\System32\eEmpty.exe
Also gehe wie hier beschrieben vor:
  • Öffne diese Webseite: virustotal
  • Klicke auf "Durchsuchen"
  • Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
  • "Senden der Datei"
  • Warte, bis der Scandurchlauf aller Virenscanner beendet ist
  • Auf "Compact" klicken (Links oben zu finden)
  • Ein neuer Tab dürfte sich öffnen.
  • Den Inhalt komplett kopieren und hier einfügen
Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

ich56 06.08.2010 16:24
Habe die 3 Dateien gescannt.


File dmio.sys received on 2010.08.06 15:14:07 (UTC)
Antivirus Version Last Update Result
AhnLab-V3 2010.08.06.01 2010.08.06 Backdoor/Win32.Tdss
AntiVir 8.2.4.32 2010.08.06 -
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.06 -
Avast 4.8.1351.0 2010.08.06 -
Avast5 5.0.332.0 2010.08.06 -
AVG 9.0.0.851 2010.08.06 -
BitDefender 7.2 2010.08.06 -
CAT-QuickHeal 11.00 2010.08.06 -
ClamAV 0.96.0.3-git 2010.08.06 -
Comodo 5667 2010.08.06 TrojWare.Win32.Rootkit.TDL3.gen
DrWeb 5.0.2.03300 2010.08.06 -
Emsisoft 5.0.0.36 2010.08.06 -
eSafe 7.0.17.0 2010.08.05 -
eTrust-Vet 36.1.7771 2010.08.06 -
F-Prot 4.6.1.107 2010.08.05 -
F-Secure 9.0.15370.0 2010.08.06 -
Fortinet 4.1.143.0 2010.08.06 -
GData 21 2010.08.06 -
Ikarus T3.1.1.84.0 2010.08.06 -
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.06 -
McAfee 5.400.0.1158 2010.08.06 -
McAfee-GW-Edition 2010.1 2010.08.06 Heuristic.LooksLike.Win32.NewMalware.I
Microsoft 1.6004 2010.08.06 -
NOD32 5347 2010.08.06 -
Norman 6.05.11 2010.08.06 -
nProtect 2010-08-06.01 2010.08.06 Trojan/W32.Rootkit.154112.D
Panda 10.0.2.7 2010.08.06 -
PCTools 7.0.3.5 2010.08.06 -
Prevx 3.0 2010.08.06 -
Rising 22.59.04.04 2010.08.06 -
Sophos 4.56.0 2010.08.06 Mal/TDSSRt-A
Sunbelt 6694 2010.08.06 LooksLike.Win32.PatchedDriver!A (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.06 -
Symantec 20101.1.1.7 2010.08.06 -
TheHacker 6.5.2.1.334 2010.08.06 -
TrendMicro 9.120.0.1004 2010.08.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.06 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.7.29.3961 2010.08.06 -
VirusBuster 5.0.27.0 2010.08.06 -
Additional information
File size: 154112 bytes
MD5...: 0978b034c116bcb51c5be583f29074b8
SHA1..: 1224a07b56993a0347fb146efc0f235f97bb149b
SHA256: 46378aa0f391f78c12f8bb3c6c99022538412387d997448225201edd44ef1d49
ssdeep: 3072:zP+1wyyBw0iQM+jCc10YiYtlxpq2jGIKwJkXkzmA5wrH0vfqOd:j+12w0TM<br>0il2dKoIkzP58CJ<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x22b14<br>timedatestamp.....: 0x4802549d (Sun Apr 13 18:44:45 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x1d868 0x1d880 6.53 6f6c04debe7b7b8e8feb232dac38f4aa<br>.rdata 0x1db80 0x334 0x380 4.58 18beb95532f1da1d47e2be7de9206076<br>.data 0x1df00 0x3af8 0x3b00 1.13 885e883f60ca4b3598fe3d1017b28306<br>PAGE 0x21a00 0x4e3 0x500 5.89 8d60b8c0931b5ecc0f63641e96affdb3<br>INIT 0x21f00 0xbd0 0xc00 5.58 425ca9674a6a56c4e4fffc0ad0b11898<br>.rsrc 0x22b00 0x18e8 0x1900 3.55 8c4b461562cfcfa5f9eed389c64679f8<br>.reloc 0x24400 0x15ac 0x1600 6.52 942231c44bff6f40d9c2ea145b34ab77<br><br>( 3 imports ) <br>&gt; ntoskrnl.exe: IofCallDriver, KeGetCurrentThread, KeDelayExecutionThread, IoBuildAsynchronousFsdRequest, ObfReferenceObject, IoAllocateIrp, MmBuildMdlForNonPagedPool, IoBuildPartialMdl, MmGetPhysicalAddress, IoAllocateMdl, _allshr, KeInitializeEvent, KeWaitForSingleObject, MmMapLockedPagesSpecifyCache, MmProbeAndLockPages, _except_handler3, MmUnmapLockedPages, IofCompleteRequest, memmove, KeSetEvent, ProbeForRead, ProbeForWrite, KeTickCount, PsCreateSystemThread, KeInitializeSemaphore, FsRtlIsTotalDeviceFailure, ExFreePoolWithTag, ExAllocatePoolWithTag, RtlInitUnicodeString, swprintf, RtlCopyUnicodeString, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, IoAttachDeviceToDeviceStack, PoCallDriver, PoStartNextPowerIrp, RtlVerifyVersionInfo, VerSetConditionMask, IoBuildDeviceIoControlRequest, IoBuildSynchronousFsdRequest, IoGetAttachedDeviceReference, RtlFreeUnicodeString, IoGetDeviceObjectPointer, ObfDereferenceObject, RtlInitAnsiString, RtlAppendUnicodeStringToString, RtlStringFromGUID, IoFreeIrp, RtlFreeAnsiString, IoDeleteSymbolicLink, strncmp, RtlUnicodeStringToAnsiString, wcsncmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ZwQueryValueKey, ZwOpenKey, IoGetDeviceProperty, RtlCompareMemory, IoWritePartitionTableEx, _allmul, IoReadPartitionTableEx, IoRegisterDriverReinitialization, IoReportDetectedDevice, IoCreateSynchronizationEvent, IoWriteErrorLogEntry, strncpy, IoAllocateErrorLogEntry, InterlockedPopEntrySList, InterlockedPushEntrySList, ExInitializeNPagedLookasideList, IoCreateDevice, IoCreateSymbolicLink, ZwCreateDirectoryObject, ZwMakeTemporaryObject, isdigit, PoRequestPowerIrp, PoSetPowerState, IoWMIRegistrationControl, wcslen, KeBugCheckEx, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, KeInitializeSpinLock, IoDeleteDevice, MmUnlockPages, RtlAnsiStringToUnicodeString, IoFreeMdl, IoInvalidateDeviceRelations, KeQuerySystemTime, IoVolumeDeviceToDosName, KeReleaseSemaphore, KeInitializeDpc, KeInitializeTimer, KeSetTimer, PsTerminateSystemThread, _aulldvrm, IoRaiseInformationalHardError, _allrem, _alldiv, _alldvrm, ZwClose, sprintf<br>&gt; HAL.dll: ExAcquireFastMutex, KeGetCurrentIrql, KfAcquireSpinLock, KfReleaseSpinLock, ExReleaseFastMutex<br>&gt; WMILIB.SYS: WmiSystemControl, WmiCompleteRequest<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

Antivirus;Version;Last Update;Result
AhnLab-V3;2010.08.06.01;2010.08.06;Backdoor/Win32.Tdss
AntiVir;8.2.4.32;2010.08.06;-
Antiy-AVL;2.0.3.7;2010.08.06;-
Authentium;5.2.0.5;2010.08.06;-
Avast;4.8.1351.0;2010.08.06;-
Avast5;5.0.332.0;2010.08.06;-
AVG;9.0.0.851;2010.08.06;-
BitDefender;7.2;2010.08.06;-
CAT-QuickHeal;11.00;2010.08.06;-
ClamAV;0.96.0.3-git;2010.08.06;-
Comodo;5667;2010.08.06;TrojWare.Win32.Rootkit.TDL3.gen
DrWeb;5.0.2.03300;2010.08.06;-
Emsisoft;5.0.0.36;2010.08.06;-
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7771;2010.08.06;-
F-Prot;4.6.1.107;2010.08.05;-
F-Secure;9.0.15370.0;2010.08.06;-
Fortinet;4.1.143.0;2010.08.06;-
GData;21;2010.08.06;-
Ikarus;T3.1.1.84.0;2010.08.06;-
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.06;-
McAfee;5.400.0.1158;2010.08.06;-
McAfee-GW-Edition;2010.1;2010.08.06;Heuristic.LooksLike.Win32.NewMalware.I
Microsoft;1.6004;2010.08.06;-
NOD32;5347;2010.08.06;-
Norman;6.05.11;2010.08.06;-
nProtect;2010-08-06.01;2010.08.06;Trojan/W32.Rootkit.154112.D
Panda;10.0.2.7;2010.08.06;-
PCTools;7.0.3.5;2010.08.06;-
Prevx;3.0;2010.08.06;-
Rising;22.59.04.04;2010.08.06;-
Sophos;4.56.0;2010.08.06;Mal/TDSSRt-A
Sunbelt;6694;2010.08.06;LooksLike.Win32.PatchedDriver!A (v)
SUPERAntiSpyware;4.40.0.1006;2010.08.06;-
Symantec;20101.1.1.7;2010.08.06;-
TheHacker;6.5.2.1.334;2010.08.06;-
TrendMicro;9.120.0.1004;2010.08.06;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.06;-
VBA32;3.12.12.8;2010.08.04;-
ViRobot;2010.7.29.3961;2010.08.06;-
VirusBuster;5.0.27.0;2010.08.06;-

Additional information
File size: 154112 bytes
MD5...: 0978b034c116bcb51c5be583f29074b8
SHA1..: 1224a07b56993a0347fb146efc0f235f97bb149b
SHA256: 46378aa0f391f78c12f8bb3c6c99022538412387d997448225201edd44ef1d49
ssdeep: 3072:zP+1wyyBw0iQM+jCc10YiYtlxpq2jGIKwJkXkzmA5wrH0vfqOd:j+12w0TM<br>0il2dKoIkzP58CJ<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x22b14<br>timedatestamp.....: 0x4802549d (Sun Apr 13 18:44:45 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x300 0x1d868 0x1d880 6.53 6f6c04debe7b7b8e8feb232dac38f4aa<br>.rdata 0x1db80 0x334 0x380 4.58 18beb95532f1da1d47e2be7de9206076<br>.data 0x1df00 0x3af8 0x3b00 1.13 885e883f60ca4b3598fe3d1017b28306<br>PAGE 0x21a00 0x4e3 0x500 5.89 8d60b8c0931b5ecc0f63641e96affdb3<br>INIT 0x21f00 0xbd0 0xc00 5.58 425ca9674a6a56c4e4fffc0ad0b11898<br>.rsrc 0x22b00 0x18e8 0x1900 3.55 8c4b461562cfcfa5f9eed389c64679f8<br>.reloc 0x24400 0x15ac 0x1600 6.52 942231c44bff6f40d9c2ea145b34ab77<br><br>( 3 imports ) <br>&gt; ntoskrnl.exe: IofCallDriver, KeGetCurrentThread, KeDelayExecutionThread, IoBuildAsynchronousFsdRequest, ObfReferenceObject, IoAllocateIrp, MmBuildMdlForNonPagedPool, IoBuildPartialMdl, MmGetPhysicalAddress, IoAllocateMdl, _allshr, KeInitializeEvent, KeWaitForSingleObject, MmMapLockedPagesSpecifyCache, MmProbeAndLockPages, _except_handler3, MmUnmapLockedPages, IofCompleteRequest, memmove, KeSetEvent, ProbeForRead, ProbeForWrite, KeTickCount, PsCreateSystemThread, KeInitializeSemaphore, FsRtlIsTotalDeviceFailure, ExFreePoolWithTag, ExAllocatePoolWithTag, RtlInitUnicodeString, swprintf, RtlCopyUnicodeString, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, IoAttachDeviceToDeviceStack, PoCallDriver, PoStartNextPowerIrp, RtlVerifyVersionInfo, VerSetConditionMask, IoBuildDeviceIoControlRequest, IoBuildSynchronousFsdRequest, IoGetAttachedDeviceReference, RtlFreeUnicodeString, IoGetDeviceObjectPointer, ObfDereferenceObject, RtlInitAnsiString, RtlAppendUnicodeStringToString, RtlStringFromGUID, IoFreeIrp, RtlFreeAnsiString, IoDeleteSymbolicLink, strncmp, RtlUnicodeStringToAnsiString, wcsncmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ZwQueryValueKey, ZwOpenKey, IoGetDeviceProperty, RtlCompareMemory, IoWritePartitionTableEx, _allmul, IoReadPartitionTableEx, IoRegisterDriverReinitialization, IoReportDetectedDevice, IoCreateSynchronizationEvent, IoWriteErrorLogEntry, strncpy, IoAllocateErrorLogEntry, InterlockedPopEntrySList, InterlockedPushEntrySList, ExInitializeNPagedLookasideList, IoCreateDevice, IoCreateSymbolicLink, ZwCreateDirectoryObject, ZwMakeTemporaryObject, isdigit, PoRequestPowerIrp, PoSetPowerState, IoWMIRegistrationControl, wcslen, KeBugCheckEx, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, KeInitializeSpinLock, IoDeleteDevice, MmUnlockPages, RtlAnsiStringToUnicodeString, IoFreeMdl, IoInvalidateDeviceRelations, KeQuerySystemTime, IoVolumeDeviceToDosName, KeReleaseSemaphore, KeInitializeDpc, KeInitializeTimer, KeSetTimer, PsTerminateSystemThread, _aulldvrm, IoRaiseInformationalHardError, _allrem, _alldiv, _alldvrm, ZwClose, sprintf<br>&gt; HAL.dll: ExAcquireFastMutex, KeGetCurrentIrql, KfAcquireSpinLock, KfReleaseSpinLock, ExReleaseFastMutex<br>&gt; WMILIB.SYS: WmiSystemControl, WmiCompleteRequest<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>




File dftsonp.dll received on 2010.08.06 15:17:58 (UTC)
Antivirus Version Last Update Result
AhnLab-V3 2010.08.06.01 2010.08.06 Malware/Win32.Generic
AntiVir 8.2.4.32 2010.08.06 -
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.06 W32/Hiloti.I.gen!Eldorado
Avast 4.8.1351.0 2010.08.06 Win32:Hilot
Avast5 5.0.332.0 2010.08.06 Win32:Hilot
AVG 9.0.0.851 2010.08.06 Hiloti.BA
BitDefender 7.2 2010.08.06 Gen:Variant.Hiloti.1
CAT-QuickHeal 11.00 2010.08.06 -
ClamAV 0.96.0.3-git 2010.08.06 -
Comodo 5667 2010.08.06 -
DrWeb 5.0.2.03300 2010.08.06 BackDoor.Tdss.3839
Emsisoft 5.0.0.36 2010.08.06 Trojan-Downloader.Win32.Mufanom!IK
eSafe 7.0.17.0 2010.08.05 -
eTrust-Vet 36.1.7771 2010.08.06 -
F-Prot 4.6.1.107 2010.08.05 W32/Hiloti.I.gen!Eldorado
F-Secure 9.0.15370.0 2010.08.06 Gen:Variant.Hiloti.1
Fortinet 4.1.143.0 2010.08.06 -
GData 21 2010.08.06 Gen:Variant.Hiloti.1
Ikarus T3.1.1.84.0 2010.08.06 Trojan-Downloader.Win32.Mufanom
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.06 -
McAfee 5.400.0.1158 2010.08.06 Hiloti.gen.e
McAfee-GW-Edition 2010.1 2010.08.06 -
Microsoft 1.6004 2010.08.06 Trojan:Win32/Hiloti.gen!D
NOD32 5347 2010.08.06 a variant of Win32/Cimag.DB
Norman 6.05.11 2010.08.06 -
nProtect 2010-08-06.01 2010.08.06 Gen:Variant.Hiloti.1
Panda 10.0.2.7 2010.08.06 -
PCTools 7.0.3.5 2010.08.06 -
Prevx 3.0 2010.08.06 -
Rising 22.59.04.04 2010.08.06 -
Sophos 4.56.0 2010.08.06 Mal/Hiloti-D
Sunbelt 6694 2010.08.06 Trojan.Win32.Hiloti.gen.f (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.06 -
Symantec 20101.1.1.7 2010.08.06 -
TheHacker 6.5.2.1.334 2010.08.06 -
TrendMicro 9.120.0.1004 2010.08.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.06 -
VBA32 3.12.12.8 2010.08.04 suspected of Trojan.Win32.Waledac
ViRobot 2010.7.29.3961 2010.08.06 -
VirusBuster 5.0.27.0 2010.08.06 Trojan.Hiloti.Gen!Pac
Additional information
File size: 78848 bytes
MD5...: 650bada1bf31cb990a5ce647ece679be
SHA1..: de1a68015cb417587ae4170275677b011469d5fb
SHA256: e0be90cc05b7481cba06d077032f08987d7090160c12fdf97ada339ff5353ae6
ssdeep: 1536:ywI3+XZGfzSCmd5EQ47M6yp33N0UvvgtSD9HgRMKDK86mjoj5T6O6:XXZGm<br>CMkJ2NngtSD9ARMKT6mjogV<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xc294<br>timedatestamp.....: 0x4b1fc0b0 (Wed Dec 09 15:22:24 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x12000 0x11c00 6.63 ed5dcdc55e05a78e8e2851d26518a60c<br>.data 0x13000 0x1000 0x800 5.63 842edb9fb2a988a09e284036c46e4188<br>.rsrc 0x14000 0x1000 0x400 3.24 616207369d1a58ffed2c8503798c85b0<br>.reloc 0x15000 0x1000 0x800 6.13 6f10aecadf59bfeaf705ea660ea4606a<br><br>( 6 imports ) <br>&gt; KERNEL32.dll: CloseHandle, CompareStringW, ExitProcess, ExpandEnvironmentStringsA, GetACP, GetCommandLineA, GetModuleHandleA, GetModuleHandleW, GetOEMCP, GetPriorityClass, GetStartupInfoA, GetStringTypeA, GetTickCount, GetVersionExA, HeapAlloc, HeapCreate, HeapReAlloc, InterlockedIncrement, MultiByteToWideChar, PulseEvent, RtlUnwind, SetLastError, SetUnhandledExceptionFilter, SizeofResource, lstrlenA<br>&gt; user32.dll: InsertMenuA, GetWindow, GetSysColorBrush, GetClientRect, EnumWindows, DrawEdge, DefMDIChildProcA<br>&gt; ole32.dll: CoTaskMemFree, CreateAntiMoniker, CoCreateInstance<br>&gt; advapi32.dll: CryptSetProvParam, SetNamedSecurityInfoW<br>&gt; SHLWAPI.dll: StrStrA, StrToIntA, StrStrW, SHRegGetPathA<br>&gt; shfolder.dll: SHGetFolderPathA<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:<br>publisher....: MaresWEB<br>copyright....: 2003-2006, MaresWEB<br>product......: BASS_ALAC<br>description..: Apple Lossless Audio Codec add-on for the BASS library<br>original name: bass_alac.dll<br>internal name: BASS_ALAC<br>file version.: 2.3.0.0<br>comments.....: <br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

Antivirus;Version;Last Update;Result
AhnLab-V3;2010.08.06.01;2010.08.06;Malware/Win32.Generic
AntiVir;8.2.4.32;2010.08.06;-
Antiy-AVL;2.0.3.7;2010.08.06;-
Authentium;5.2.0.5;2010.08.06;W32/Hiloti.I.gen!Eldorado
Avast;4.8.1351.0;2010.08.06;Win32:Hilot
Avast5;5.0.332.0;2010.08.06;Win32:Hilot
AVG;9.0.0.851;2010.08.06;Hiloti.BA
BitDefender;7.2;2010.08.06;Gen:Variant.Hiloti.1
CAT-QuickHeal;11.00;2010.08.06;-
ClamAV;0.96.0.3-git;2010.08.06;-
Comodo;5667;2010.08.06;-
DrWeb;5.0.2.03300;2010.08.06;BackDoor.Tdss.3839
Emsisoft;5.0.0.36;2010.08.06;Trojan-Downloader.Win32.Mufanom!IK
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7771;2010.08.06;-
F-Prot;4.6.1.107;2010.08.05;W32/Hiloti.I.gen!Eldorado
F-Secure;9.0.15370.0;2010.08.06;Gen:Variant.Hiloti.1
Fortinet;4.1.143.0;2010.08.06;-
GData;21;2010.08.06;Gen:Variant.Hiloti.1
Ikarus;T3.1.1.84.0;2010.08.06;Trojan-Downloader.Win32.Mufanom
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.06;-
McAfee;5.400.0.1158;2010.08.06;Hiloti.gen.e
McAfee-GW-Edition;2010.1;2010.08.06;-
Microsoft;1.6004;2010.08.06;Trojan:Win32/Hiloti.gen!D
NOD32;5347;2010.08.06;a variant of Win32/Cimag.DB
Norman;6.05.11;2010.08.06;-
nProtect;2010-08-06.01;2010.08.06;Gen:Variant.Hiloti.1
Panda;10.0.2.7;2010.08.06;-
PCTools;7.0.3.5;2010.08.06;-
Prevx;3.0;2010.08.06;-
Rising;22.59.04.04;2010.08.06;-
Sophos;4.56.0;2010.08.06;Mal/Hiloti-D
Sunbelt;6694;2010.08.06;Trojan.Win32.Hiloti.gen.f (v)
SUPERAntiSpyware;4.40.0.1006;2010.08.06;-
Symantec;20101.1.1.7;2010.08.06;-
TheHacker;6.5.2.1.334;2010.08.06;-
TrendMicro;9.120.0.1004;2010.08.06;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.06;-
VBA32;3.12.12.8;2010.08.04;suspected of Trojan.Win32.Waledac
ViRobot;2010.7.29.3961;2010.08.06;-
VirusBuster;5.0.27.0;2010.08.06;Trojan.Hiloti.Gen!Pac

Additional information
File size: 78848 bytes
MD5...: 650bada1bf31cb990a5ce647ece679be
SHA1..: de1a68015cb417587ae4170275677b011469d5fb
SHA256: e0be90cc05b7481cba06d077032f08987d7090160c12fdf97ada339ff5353ae6
ssdeep: 1536:ywI3+XZGfzSCmd5EQ47M6yp33N0UvvgtSD9HgRMKDK86mjoj5T6O6:XXZGm<br>CMkJ2NngtSD9ARMKT6mjogV<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xc294<br>timedatestamp.....: 0x4b1fc0b0 (Wed Dec 09 15:22:24 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x12000 0x11c00 6.63 ed5dcdc55e05a78e8e2851d26518a60c<br>.data 0x13000 0x1000 0x800 5.63 842edb9fb2a988a09e284036c46e4188<br>.rsrc 0x14000 0x1000 0x400 3.24 616207369d1a58ffed2c8503798c85b0<br>.reloc 0x15000 0x1000 0x800 6.13 6f10aecadf59bfeaf705ea660ea4606a<br><br>( 6 imports ) <br>&gt; KERNEL32.dll: CloseHandle, CompareStringW, ExitProcess, ExpandEnvironmentStringsA, GetACP, GetCommandLineA, GetModuleHandleA, GetModuleHandleW, GetOEMCP, GetPriorityClass, GetStartupInfoA, GetStringTypeA, GetTickCount, GetVersionExA, HeapAlloc, HeapCreate, HeapReAlloc, InterlockedIncrement, MultiByteToWideChar, PulseEvent, RtlUnwind, SetLastError, SetUnhandledExceptionFilter, SizeofResource, lstrlenA<br>&gt; user32.dll: InsertMenuA, GetWindow, GetSysColorBrush, GetClientRect, EnumWindows, DrawEdge, DefMDIChildProcA<br>&gt; ole32.dll: CoTaskMemFree, CreateAntiMoniker, CoCreateInstance<br>&gt; advapi32.dll: CryptSetProvParam, SetNamedSecurityInfoW<br>&gt; SHLWAPI.dll: StrStrA, StrToIntA, StrStrW, SHRegGetPathA<br>&gt; shfolder.dll: SHGetFolderPathA<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:<br>publisher....: MaresWEB<br>copyright....: 2003-2006, MaresWEB<br>product......: BASS_ALAC<br>description..: Apple Lossless Audio Codec add-on for the BASS library<br>original name: bass_alac.dll<br>internal name: BASS_ALAC<br>file version.: 2.3.0.0<br>comments.....: <br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>



File eEmpty.exe received on 2010.08.06 15:21:12 (UTC)
Antivirus Version Last Update Result
AhnLab-V3 2010.08.06.01 2010.08.06 -
AntiVir 8.2.4.32 2010.08.06 -
Antiy-AVL 2.0.3.7 2010.08.06 -
Authentium 5.2.0.5 2010.08.06 -
Avast 4.8.1351.0 2010.08.06 -
Avast5 5.0.332.0 2010.08.06 -
AVG 9.0.0.851 2010.08.06 -
BitDefender 7.2 2010.08.06 -
CAT-QuickHeal 11.00 2010.08.06 -
ClamAV 0.96.0.3-git 2010.08.06 -
Comodo 5667 2010.08.06 -
DrWeb 5.0.2.03300 2010.08.06 -
Emsisoft 5.0.0.36 2010.08.06 -
eSafe 7.0.17.0 2010.08.05 -
eTrust-Vet 36.1.7771 2010.08.06 -
F-Prot 4.6.1.107 2010.08.05 -
F-Secure 9.0.15370.0 2010.08.06 -
Fortinet 4.1.143.0 2010.08.06 -
GData 21 2010.08.06 -
Ikarus T3.1.1.84.0 2010.08.06 -
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.06 -
McAfee 5.400.0.1158 2010.08.06 -
McAfee-GW-Edition 2010.1 2010.08.06 -
Microsoft 1.6004 2010.08.06 -
NOD32 5347 2010.08.06 -
Norman 6.05.11 2010.08.06 -
nProtect 2010-08-06.01 2010.08.06 -
Panda 10.0.2.7 2010.08.06 -
PCTools 7.0.3.5 2010.08.06 -
Prevx 3.0 2010.08.06 -
Rising 22.59.04.04 2010.08.06 -
Sophos 4.56.0 2010.08.06 -
Sunbelt 6695 2010.08.06 -
SUPERAntiSpyware 4.40.0.1006 2010.08.06 -
Symantec 20101.1.1.7 2010.08.06 -
TheHacker 6.5.2.1.334 2010.08.06 -
TrendMicro 9.120.0.1004 2010.08.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.06 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.7.29.3961 2010.08.06 -
VirusBuster 5.0.27.0 2010.08.06 -
Additional information
File size: 34048 bytes
MD5...: 38f07d89c0dcb4826f508b78087215d8
SHA1..: 45d01e97c1695fc18fd46598ca1444ddaa6f43b3
SHA256: d23863c0dac5de53fbd1d11a0e2721c175663669b74a3f0f8a459f7a13914b22
ssdeep: 384:W40MvVx9fzmlXUBWEYHyyBYrh6oZqWtR1YJLWQGHbU:7fXKTHyY+h6oneL0H<br>bU<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1010<br>timedatestamp.....: 0x48ef47c1 (Fri Oct 10 12:17:05 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x288e 0x3000 5.91 198f4e38f8e14d9c5d88044d22617c84<br>.rdata 0x4000 0x736 0x1000 3.01 30beb8b339ff491f47a323f852d5e3c0<br>.data 0x5000 0x9bc 0x1000 0.87 5dd0366f742b8f20fd3b8ef03763cab4<br>.rsrc 0x6000 0x6a8 0x1000 2.23 1b4e4145b58e683ef4eac921fcc561f4<br><br>( 1 imports ) <br>&gt; KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)
sigcheck:<br>publisher....: MicroWorld Technologies Inc.<br>copyright....: Copyright (c) MicroWorld Technologies Inc.<br>product......: eScan For Windows<br>description..: eScan Empty Container<br>original name: eEmpty.exe<br>internal name: eEmpty<br>file version.: 2, 0, 0, 2<br>comments.....: <br>signers......: MicroWorld Technologies Inc.<br> VeriSign Class 3 Code Signing 2004 CA<br> Class 3 Public Primary Certification Authority<br>signing date.: 6:01 PM 7/15/2009<br>verified.....: -<br>

Antivirus;Version;Last Update;Result
AhnLab-V3;2010.08.06.01;2010.08.06;-
AntiVir;8.2.4.32;2010.08.06;-
Antiy-AVL;2.0.3.7;2010.08.06;-
Authentium;5.2.0.5;2010.08.06;-
Avast;4.8.1351.0;2010.08.06;-
Avast5;5.0.332.0;2010.08.06;-
AVG;9.0.0.851;2010.08.06;-
BitDefender;7.2;2010.08.06;-
CAT-QuickHeal;11.00;2010.08.06;-
ClamAV;0.96.0.3-git;2010.08.06;-
Comodo;5667;2010.08.06;-
DrWeb;5.0.2.03300;2010.08.06;-
Emsisoft;5.0.0.36;2010.08.06;-
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7771;2010.08.06;-
F-Prot;4.6.1.107;2010.08.05;-
F-Secure;9.0.15370.0;2010.08.06;-
Fortinet;4.1.143.0;2010.08.06;-
GData;21;2010.08.06;-
Ikarus;T3.1.1.84.0;2010.08.06;-
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.06;-
McAfee;5.400.0.1158;2010.08.06;-
McAfee-GW-Edition;2010.1;2010.08.06;-
Microsoft;1.6004;2010.08.06;-
NOD32;5347;2010.08.06;-
Norman;6.05.11;2010.08.06;-
nProtect;2010-08-06.01;2010.08.06;-
Panda;10.0.2.7;2010.08.06;-
PCTools;7.0.3.5;2010.08.06;-
Prevx;3.0;2010.08.06;-
Rising;22.59.04.04;2010.08.06;-
Sophos;4.56.0;2010.08.06;-
Sunbelt;6695;2010.08.06;-
SUPERAntiSpyware;4.40.0.1006;2010.08.06;-
Symantec;20101.1.1.7;2010.08.06;-
TheHacker;6.5.2.1.334;2010.08.06;-
TrendMicro;9.120.0.1004;2010.08.06;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.06;-
VBA32;3.12.12.8;2010.08.04;-
ViRobot;2010.7.29.3961;2010.08.06;-
VirusBuster;5.0.27.0;2010.08.06;-

Additional information
File size: 34048 bytes
MD5...: 38f07d89c0dcb4826f508b78087215d8
SHA1..: 45d01e97c1695fc18fd46598ca1444ddaa6f43b3
SHA256: d23863c0dac5de53fbd1d11a0e2721c175663669b74a3f0f8a459f7a13914b22
ssdeep: 384:W40MvVx9fzmlXUBWEYHyyBYrh6oZqWtR1YJLWQGHbU:7fXKTHyY+h6oneL0H<br>bU<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1010<br>timedatestamp.....: 0x48ef47c1 (Fri Oct 10 12:17:05 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x288e 0x3000 5.91 198f4e38f8e14d9c5d88044d22617c84<br>.rdata 0x4000 0x736 0x1000 3.01 30beb8b339ff491f47a323f852d5e3c0<br>.data 0x5000 0x9bc 0x1000 0.87 5dd0366f742b8f20fd3b8ef03763cab4<br>.rsrc 0x6000 0x6a8 0x1000 2.23 1b4e4145b58e683ef4eac921fcc561f4<br><br>( 1 imports ) <br>&gt; KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)
sigcheck:<br>publisher....: MicroWorld Technologies Inc.<br>copyright....: Copyright (c) MicroWorld Technologies Inc.<br>product......: eScan For Windows<br>description..: eScan Empty Container<br>original name: eEmpty.exe<br>internal name: eEmpty<br>file version.: 2, 0, 0, 2<br>comments.....: <br>signers......: MicroWorld Technologies Inc.<br> VeriSign Class 3 Code Signing 2004 CA<br> Class 3 Public Primary Certification Authority<br>signing date.: 6:01 PM 7/15/2009<br>verified.....: -<br>

Larusso 06.08.2010 16:32
Da wollte irgendwas CF behindern und hat es erfolgreich getan -.-

Hast du einen Ordner infected am Desktop ?

ich56 06.08.2010 16:41
Nein. Es ist kein Ordner namens Infected auf dem Desktop vorhanden.

Larusso 06.08.2010 16:55
Okay, ich brauche ein paar gewisse Dateien. Ganz schön fies das Zeug :(

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
@echo off
cd \
md "%userprofile%\desktop\infected"
copy "C:\WINDOWS\dftsonp.DLL" "%userprofile%\desktop\infected\dftsonp.DLL.vir"
copy "C:\WINDOWS\System32\controlSrv.exe" "%userprofile%\desktop\infected\controlSrv.exe.vir"
copy "c:\programme\microsoft\desktoplayer.exe" "%userprofile%\desktop\infected\desktoplayer.exe.vir"
del %0
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"


Schritt 2
Code:
/md5start
dmio.sys
/md5stop

ich56 06.08.2010 17:21
Habe beide Schritte ausgefuehrt. Habe nun einen Ordner auf dem Desktop namens Infected. Dort sind die 3 Dateien drin die er laut bat Datei kopieren sollte.

Hier der Text aus dem Bat Fenster

1 file(s) copied.
1 file(s) copied.
1 file(s) copied.
Insert the diskette that contains the batch file
and press any key when ready.

Nun die OTL.txt

file created on: 8/6/2010 8:17:23 PM - Run
OTLPE by OldTimer - Version 3.1.40.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 90.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 30.00 Gb Total Space | 12.68 Gb Free Space | 42.29% Space Free | Partition Type: NTFS
Drive D: | 30.00 Gb Total Space | 25.98 Gb Free Space | 86.61% Space Free | Partition Type: NTFS
Drive E: | 1337.26 Gb Total Space | 526.50 Gb Free Space | 39.37% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive X: | 433.24 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO
Current User Name: SYSTEM
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
Using ControlSet: ControlSet002

========== Custom Scans ==========



< MD5 for: DMIO.SYS >
[2006/02/28 08:00:00 | 000,154,112 | ---- | M] (Microsoft Corp., Veritas Software) MD5=084EB0A50A4F7B4705C8A57F234E5291 -- C:\WINDOWS\$NtServicePackUninstall$\dmio.sys
[2008/04/14 01:28:20 | 000,154,112 | ---- | M] () MD5=0978B034C116BCB51C5BE583F29074B8 -- C:\WINDOWS\system32\drivers\dmio.sys
[2008/04/14 01:28:20 | 000,154,112 | ---- | M] (Microsoft Corp., Veritas Software) MD5=53720AB12B48719D00E327DA470A619A -- C:\WINDOWS\ServicePackFiles\i386\dmio.sys
< End of report >

Larusso 06.08.2010 18:53
Sehr gut :)


Schritt 1

Hab ich was übersehen. Bitte folgende Datei manuell in den Ordner Infected Kopieren.
C:\WINDOWS\ExplorerSrv.exe
Die Datei dann im Ordner Infected in ExplorerSrv.exe.vir umbenennen.

Nun rechtsklick auf den Ordner, 7zip (sollte vorhanden sein) und auf add to infected.zip klicken.


Schritt 2
Code:
:OTL
O4 - HKLM..\Run: [combofix] C:\Combo\CF13435.cfx File not found
O4 - HKU\MP.MEDIAPC.000_ON_C..\Run: [Sgoqisukinasule] C:\WINDOWS\dftsonp.DLL (MaresWEB)
O4 - HKLM..\RunOnce: [combofix] C:\Combo\CF13435.cfx File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O20 - HKLM Winlogon: UserInit - (c:\programme\microsoft\desktoplayer.exe) - c:\Programme\Microsoft\DesktopLayer.exe (SOFTWIN S.R.L.)
[2010/08/06 05:11:51 | 000,059,392 | ---- | C] (SOFTWIN S.R.L.) -- C:\WINDOWS\ExplorerSrv.exe
[2010/08/05 12:02:09 | 000,059,392 | ---- | C] (SOFTWIN S.R.L.) -- C:\WINDOWS\System32\controlSrv.exe
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2010/08/01 19:35:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe
[2009/08/16 10:52:26 | 000,060,416 | ---- | C] () -- C:\WINDOWS\System32\antiwpa.dll
:services
:files
C:\WINDOWS\System32\drivers\dmio.sys | C:\WINDOWS\$NtServicePackUninstall$\dmio.sys /replace
:reg
:Commands
[purity]
[emptytemp]
[reboot]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Schritt 3

Der Rechner sollte nun wieder booten.


Berichte bitte

ich56 07.08.2010 01:00
So.
Schritte ausgeführt. Windows startet wieder.
Hier das OTL Log

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\combofix deleted successfully.
Registry value HKEY_USERS\MP.MEDIAPC.000_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Sgoqisukinasule deleted successfully.
C:\WINDOWS\dftsonp.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\combofix deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:c:\programme\microsoft\desktoplayer.exe deleted successfully.
c:\Programme\Microsoft\DesktopLayer.exe moved successfully.
C:\WINDOWS\ExplorerSrv.exe moved successfully.
C:\WINDOWS\system32\controlSrv.exe moved successfully.
C:\WINDOWS\VDLL.DLL folder moved successfully.
C:\WINDOWS\System32\runouce.exe folder moved successfully.
C:\WINDOWS\rundll16.exe folder moved successfully.
C:\WINDOWS\RUNDL132.EXE folder moved successfully.
C:\WINDOWS\logo1_.exe folder moved successfully.
C:\WINDOWS\logo_1.exe folder moved successfully.
C:\WINDOWS\system32\antiwpa.dll moved successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
File C:\WINDOWS\System32\drivers\dmio.sys successfully replaced with C:\WINDOWS\$NtServicePackUninstall$\dmio.sys
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Administrator.MEDIAPC
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: All Users.WINDOWS

User: Default User

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService.NT-AUTORITÄT.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 0 bytes

User: MP
->Temp folder emptied: 0 bytes
->Opera cache emptied: 7365176 bytes

User: MP.MEDIAPC
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: MP.MEDIAPC.000
->Temp folder emptied: 95371 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 27673513 bytes
->Flash cache emptied: 0 bytes

User: MP3D0B~1~MED

User: MPMEDI~1~000

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService.NT-AUTORITÄT.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 6281896 bytes
->Flash cache emptied: 1092 bytes

User: test
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes

Total Files Cleaned = 40.00 mb


OTLPE by OldTimer - Version 3.1.40.0 log created on 08072010_035240

Larusso 07.08.2010 10:22
:daumenhoc

Schritt 1

CustomScan mit OTL

Benenne bitte die OTL.exe in OTL.com um. Ignoriere die warnung
Code:
netsvcs
drivers32 /all
msconfig
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs


Schritt 2

Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Auch diese in Gmer.com umbennnen
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird Gmer beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Bitte poste in Deiner nächsten Antwort
OTL.txt
Gmer.txt

ich56 08.08.2010 12:52
So, da ich gestern nicht zu Hause war, kommt leider jetzt erst meine Rueckmeldung.
Habe die Schritte ausgefuehrt. Nach dem Umbenennen der OTL.exe in OTL.com und deren starten, wurde wieder eine OTLSRV.exe angelegt. Beim Ausfuehren der gmer.com Datei war dies nicht der Fall. anbei die beiden Logs.

OTL

file created on: 08.08.2010 14:15:32 - Run 2
OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MFTools
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 86,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 30,00 Gb Total Space | 11,76 Gb Free Space | 39,20% Space Free | Partition Type: NTFS
Drive D: | 30,00 Gb Total Space | 25,98 Gb Free Space | 86,61% Space Free | Partition Type: NTFS
Drive E: | 1337,26 Gb Total Space | 526,50 Gb Free Space | 39,37% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: MEDIAPC
Current User Name: MP
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2010.08.04 11:37:17 | 000,635,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MFTools\OTL.com
PRC - [2010.08.02 11:08:52 | 002,662,400 | ---- | M] (SoundGraph, Inc.) -- C:\Programme\SOUNDGRAPH\iMON\iMON.exe
PRC - [2010.08.02 11:05:45 | 000,248,320 | ---- | M] () -- C:\Programme\DVBViewer TE2\SkystarIR.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.11.19 19:41:24 | 000,075,048 | ---- | M] (cyberlink) -- C:\Programme\CyberLink\Shared files\brs.exe
PRC - [2009.08.16 19:16:39 | 000,198,160 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
PRC - [2009.07.16 21:08:20 | 000,091,432 | ---- | M] (CyberLink Corp.) -- C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
PRC - [2009.01.07 23:17:44 | 000,188,416 | ---- | M] (Team MediaPortal) -- D:\MediaPortal TV Server\TvService.exe
PRC - [2008.11.25 08:31:10 | 029,263,712 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
PRC - [2008.11.25 08:31:07 | 000,239,968 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
PRC - [2008.11.24 22:31:12 | 000,087,904 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
PRC - [2008.10.20 22:18:26 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
PRC - [2008.07.11 16:04:22 | 000,200,704 | ---- | M] () -- C:\WINDOWS\system\HsMgr.exe
PRC - [2008.05.02 02:44:08 | 000,805,392 | ---- | M] (Logitech, Inc.) -- C:\Programme\Logitech\SetPoint\SetPoint.exe
PRC - [2008.05.02 02:40:56 | 000,076,304 | ---- | M] (Logitech, Inc.) -- C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.07.24 11:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
PRC - [2007.01.04 19:48:52 | 000,112,152 | R--- | M] (InterVideo) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe


========== Modules (SafeList) ==========

MOD - [2010.08.04 11:37:17 | 000,635,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MFTools\OTL.com
MOD - [2009.07.12 01:12:06 | 000,632,656 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcr80.dll
MOD - [2008.08.14 15:39:28 | 000,217,088 | ---- | M] (C-Media Electronics Inc.) -- C:\WINDOWS\system\HsSrv.dll
MOD - [2008.05.02 02:42:50 | 000,045,584 | ---- | M] (Logitech, Inc.) -- C:\Programme\Logitech\SetPoint\lgscroll.dll
MOD - [2008.04.14 07:52:16 | 000,072,192 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msacm32.dll
MOD - [2008.04.14 07:52:10 | 000,367,616 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\dsound.dll
MOD - [2008.04.14 07:51:08 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx


========== Win32 Services (SafeList) ==========

SRV - [2009.01.07 23:17:44 | 000,188,416 | ---- | M] (Team MediaPortal) [Auto | Running] -- D:\MediaPortal TV Server\TVService.exe -- (TVService)
SRV - [2008.11.25 08:31:10 | 029,263,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe -- (MSSQL$SQLEXPRESS) SQL Server (SQLEXPRESS)
SRV - [2008.11.25 08:31:07 | 000,239,968 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe -- (SQLBrowser)
SRV - [2008.11.25 08:31:07 | 000,045,408 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe -- (MSSQLServerADHelper)
SRV - [2008.11.24 22:31:12 | 000,087,904 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe -- (SQLWriter)
SRV - [2008.10.20 22:18:26 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
SRV - [2008.05.02 02:42:06 | 000,121,360 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2007.07.24 11:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2)
SRV - [2007.01.04 19:48:52 | 000,112,152 | R--- | M] (InterVideo) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\MPMEDI~1.000\LOKALE~1\Temp\catchme.sys -- (catchme)
DRV - [2009.11.04 18:15:30 | 004,423,168 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.10.12 21:24:56 | 000,007,408 | R--- | M] ( SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | On_Demand | Stopped] -- C:\Programme\SUPERAntiSpyware\SASENUM.SYS -- (SASENUM)
DRV - [2009.10.12 21:24:54 | 000,009,968 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV)
DRV - [2009.10.12 21:24:52 | 000,074,480 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL)
DRV - [2009.08.28 19:36:24 | 000,087,536 | ---- | M] (CyberLink Corp.) [2009/12/07 21:07:36] [Kernel | Auto | Running] -- C:\Programme\CyberLink\PowerDVD8\000.fcl -- ({FE4C91E7-22C2-4D0C-9F6B-82F1B7742054})
DRV - [2009.08.19 14:05:56 | 000,100,368 | ---- | M] (ATI Research Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2009.08.16 22:09:12 | 000,003,026 | ---- | M] (Logix4u) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\hwinterface.sys -- (hwinterface)
DRV - [2009.08.16 19:19:47 | 000,721,904 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2008.10.07 15:54:10 | 000,061,424 | ---- | M] (Cyberlink Corp.) [Kernel | Auto | Running] -- C:\Programme\CyberLink\PowerDVD\000.fcl -- ({95808DC4-FA4A-4C74-92FE-5B863F82066B})
DRV - [2008.09.01 19:44:26 | 001,983,424 | ---- | M] (C-Media Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cmudaxp.sys -- (cmudaxp)
DRV - [2008.04.14 00:51:02 | 000,162,816 | ---- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\netbt.sys -- (NetBT)
DRV - [2008.04.14 00:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2008.04.13 22:06:06 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008.02.29 03:13:36 | 000,079,120 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LMouKE.Sys -- (LMouKE)
DRV - [2008.02.29 03:13:24 | 000,036,880 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2008.02.29 03:13:16 | 000,035,344 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2008.02.29 03:12:56 | 000,063,120 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\L8042mou.Sys -- (L8042mou)
DRV - [2008.02.29 03:12:48 | 000,020,240 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\L8042Kbd.sys -- (L8042Kbd)
DRV - [2008.02.18 14:39:53 | 000,253,968 | R--- | M] (TechniSat Provide) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MtsBda.sys -- (MTSBDA)
DRV - [2008.02.18 14:39:53 | 000,023,568 | R--- | M] (TechniSat Provide) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MtsHID.sys -- (MtsHID)
DRV - [2008.01.03 16:10:16 | 000,105,856 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007.10.12 03:40:12 | 000,009,096 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdide.sys -- (amdide)
DRV - [2007.06.29 14:47:34 | 000,034,304 | ---- | M] (AMD, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AmdLLD.sys -- (AmdLLD)
DRV - [2007.04.17 20:09:28 | 000,011,032 | ---- | M] (InterVideo) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\regi.sys -- (regi)
DRV - [2006.07.01 23:30:28 | 000,043,520 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2005.09.20 17:27:20 | 000,010,368 | ---- | M] (InterVideo, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\iviaspi.sys -- (Iviaspi)
DRV - [2004.12.22 15:51:06 | 000,018,090 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\iMON_PAD.sys -- (SGIR)
DRV - [2003.12.30 23:28:50 | 000,045,060 | ---- | M] (TG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TG_iMON.sys -- (SGHIDI)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "about:blank"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Programme\Real\RealPlayer\browserrecord [2009.08.16 19:16:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.09.24 12:06:23 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.01 22:05:57 | 000,000,000 | ---D | M]

[2009.09.24 12:06:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Mozilla\Extensions
[2010.08.03 13:09:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Mozilla\Firefox\Profiles\irjily61.default\extensions
[2009.10.06 18:19:38 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Mozilla\Firefox\Profiles\irjily61.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.08.03 13:09:11 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.08.01 22:05:59 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.08.01 22:05:46 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2009.08.24 21:25:19 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.08.24 21:25:19 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.08.24 21:25:19 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.08.24 21:25:19 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.08.24 21:25:19 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.08.05 12:40:54 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O4 - HKLM..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe (AMD)
O4 - HKLM..\Run: [BDRegion] C:\Programme\CyberLink\Shared files\brs.exe (cyberlink)
O4 - HKLM..\Run: [Cmaudio8788GX] C:\WINDOWS\system\HsMgr.exe ()
O4 - HKLM..\Run: [iMON] C:\Programme\SOUNDGRAPH\iMON\iMON.exe (SoundGraph, Inc.)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe (CyberLink Corp.)
O4 - HKLM..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKCU..\Run: [Sgoqisukinasule] C:\WINDOWS\dftsonp.DLL (CyberLink Corp.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Startmenü\Programme\Autostart\Verknüpfung mit SkystarIR.exe.lnk = C:\Programme\DVBViewer TE2\SkystarIR.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O15 - HKCU\..Trusted Domains: corel.com ([]http in Trusted sites)
O15 - HKCU\..Trusted Domains: corel.com ([www] * in Trusted sites)
O15 - HKCU\..Trusted Domains: intervideo.com ([]http in Trusted sites)
O15 - HKCU\..Trusted Domains: intervideo.com ([www] * in Trusted sites)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1250436985359 (WUWebControl Class)
O16 - DPF: {72376E32-8AF2-473F-BE32-E5D0F39C865D} hxxp://www.cyberlink.com/prog/aacs/UpdateAdvisor.cab (CUpdateAdvisorCtrl Object)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (c:\programme\microsoft\desktoplayer.exe) - c:\Programme\Microsoft\DesktopLayer.exe (SOFTWIN S.R.L.)
O20 - HKLM Winlogon: UserInit - (c:\programme\java\jre6\bin\jqssrv.exe) - c:\Programme\Java\jre6\bin\jqsSrv.exe (SOFTWIN S.R.L.)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.dll - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.01.17 23:26:45 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.01.18 22:52:50 | 002,018,243 | ---- | M] () - C:\AutoHotkey104706_Install.exe -- [ NTFS ]
O32 - AutoRun File - [2009.01.18 21:56:27 | 008,352,136 | ---- | M] (AutoIt Team) - C:\autoit-v3-setup.exe -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found

Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi5 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi6 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi7 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi8 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer5 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer6 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer7 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer8 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.ac3filter - C:\WINDOWS\System32\ac3filter.acm ()
Drivers32: msacm.divxa32 - C:\WINDOWS\System32\DivXa32.acm (Hacked With Joy !)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: msacm.vorbis - C:\WINDOWS\System32\vorbis.acm (HMS hxxp://hp.vector.co.jp/authors/VA012897/)
Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIV3 - C:\WINDOWS\System32\DivXc32.dll (Hacked with Joy !)
Drivers32: vidc.DIV4 - C:\WINDOWS\System32\DivXc32f.dll (Hacked with Joy !)
Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: VIDC.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: VIDC.IYUV - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: VIDC.UYVY - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.XVID - C:\WINDOWS\System32\xvidvfw.dll ()
Drivers32: VIDC.YUY2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: VIDC.YVU9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVYU - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave5 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave6 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave7 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave8 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)

MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: KernelFaultCheck - hkey= - key= - File not found
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (17465003472846848)

========== Files/Folders - Created Within 90 Days ==========

[2010.08.07 09:52:45 | 000,552,960 | R--- | C] (OldTimer Tools) -- C:\OTLPE.exe
[2010.08.07 09:52:40 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.08.07 03:57:14 | 000,059,392 | ---- | C] (SOFTWIN S.R.L.) -- C:\WINDOWS\ExplorerSrv.exe
[2010.08.06 12:26:52 | 000,000,000 | ---D | C] -- C:\Combo
[2010.08.05 12:23:40 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.08.05 12:20:20 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.08.05 12:20:20 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.08.05 12:20:20 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.08.05 12:20:20 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.08.05 11:58:50 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.08.04 11:38:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.08.04 11:37:23 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2010.08.04 11:32:20 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2010.08.04 11:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MFTools
[2010.08.02 17:34:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\TrojanHunter
[2010.08.02 16:38:45 | 000,000,000 | ---D | C] -- C:\Programme\TrojanHunter 5.3
[2010.08.02 10:38:46 | 000,000,000 | ---D | C] -- C:\Programme\riva1
[2010.08.02 01:31:28 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2010.08.02 01:31:25 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2010.08.02 01:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld
[2010.08.02 01:02:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
[2010.08.02 00:59:20 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.08.02 00:59:20 | 000,000,000 | ---D | C] -- C:\rsit
[2010.08.02 00:05:56 | 000,000,000 | ---D | C] -- C:\$AVG
[2010.08.02 00:05:27 | 000,000,000 | ---D | C] -- C:\Programme\AVG
[2010.08.01 23:03:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\F-Secure
[2010.08.01 22:28:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.08.01 22:06:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Sun
[2010.08.01 22:06:08 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.08.01 22:05:42 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.08.01 21:18:36 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.08.01 21:18:35 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.08.01 21:18:35 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.08.01 21:08:35 | 006,153,352 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\mbam-setup_146.exe
[2010.08.01 19:25:48 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft

========== Files - Modified Within 90 Days ==========

[2010.08.08 20:08:49 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\gmer.com
[2010.08.08 14:15:13 | 000,513,534 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.08.08 14:15:13 | 000,494,916 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.08.08 14:15:13 | 000,104,728 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.08.08 14:15:13 | 000,091,370 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.08.08 14:15:13 | 000,005,006 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.08.08 14:14:06 | 000,059,392 | ---- | M] (SOFTWIN S.R.L.) -- C:\WINDOWS\ExplorerSrv.exe
[2010.08.08 14:11:06 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.08 14:11:06 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.08 14:11:05 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.07 09:50:04 | 000,114,085 | ---- | M] () -- C:\infected.7z
[2010.08.07 04:01:59 | 008,650,752 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.dat
[2010.08.07 04:01:59 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\ntuser.ini
[2010.08.06 10:56:44 | 003,815,943 | R--- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Combo.com
[2010.08.05 19:29:35 | 000,000,294 | RHS- | M] () -- C:\boot.ini
[2010.08.05 12:41:05 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.08.05 12:40:54 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.08.05 12:40:44 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.bak
[2010.08.04 18:01:53 | 000,354,304 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\gmer.exe
[2010.08.04 11:37:23 | 000,000,626 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\NTREGOPT.lnk
[2010.08.04 11:37:23 | 000,000,607 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\ERUNT.lnk
[2010.08.04 11:28:50 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Gmer.zip
[2010.08.04 11:24:44 | 000,000,430 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.08.04 11:24:44 | 000,000,223 | ---- | M] () -- C:\Boot.bak
[2010.08.04 11:13:16 | 000,410,784 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Load.exe
[2010.08.04 11:06:07 | 000,141,312 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MBRCheck.exe
[2010.08.02 16:38:51 | 000,059,392 | R--- | M] () -- C:\WINDOWS\System32\streamhlp.dll
[2010.08.02 02:38:11 | 003,139,829 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\pinfect.zip
[2010.08.02 02:32:42 | 000,000,000 | ---- | M] () -- C:\23990098.$$$
[2010.08.02 01:35:25 | 000,000,054 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2010.08.02 01:31:27 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2010.08.02 01:21:28 | 001,438,780 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\avg.csv
[2010.08.01 21:08:35 | 006,153,352 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\mbam-setup_146.exe
[2010.08.01 20:07:41 | 000,238,080 | ---- | M] () -- C:\utorrentXP.exe
[2010.08.01 19:28:59 | 000,632,320 | ---- | M] () -- C:\CDmage1-01-5.exe
[2010.07.18 22:49:25 | 000,167,424 | ---- | M] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.18 06:07:56 | 000,552,960 | R--- | M] (OldTimer Tools) -- C:\OTLPE.exe

========== Files Created - No Company Name ==========

[2010.08.08 20:08:48 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\gmer.com
[2010.08.07 09:50:04 | 000,114,085 | ---- | C] () -- C:\infected.7z
[2010.08.06 10:56:44 | 003,815,943 | R--- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Combo.com
[2010.08.05 12:40:45 | 000,013,646 | ---- | C] () -- C:\WINDOWS\System32\wpa.bak
[2010.08.05 12:23:44 | 000,000,223 | ---- | C] () -- C:\Boot.bak
[2010.08.05 12:23:41 | 000,262,448 | ---- | C] () -- C:\cmldr
[2010.08.05 12:20:20 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.08.05 12:20:20 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.08.05 12:20:20 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.08.05 12:20:20 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.08.05 12:20:20 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.08.04 11:56:03 | 000,354,304 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\gmer.exe
[2010.08.04 11:37:23 | 000,000,626 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\NTREGOPT.lnk
[2010.08.04 11:37:23 | 000,000,607 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\ERUNT.lnk
[2010.08.04 11:28:50 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Gmer.zip
[2010.08.04 11:13:15 | 000,410,784 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\Load.exe
[2010.08.04 11:05:54 | 000,141,312 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\MBRCheck.exe
[2010.08.02 16:38:45 | 000,059,392 | R--- | C] () -- C:\WINDOWS\System32\streamhlp.dll
[2010.08.02 02:38:11 | 003,139,829 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Eigene Dateien\pinfect.zip
[2010.08.02 02:32:42 | 000,000,000 | ---- | C] () -- C:\23990098.$$$
[2010.08.02 01:31:39 | 000,000,054 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2010.08.02 01:31:28 | 000,000,522 | ---- | C] () -- C:\WINDOWS\System32\Microsoft.VC80.CRT.manifest
[2010.08.02 00:49:15 | 001,438,780 | ---- | C] () -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\avg.csv
[2010.03.01 22:51:29 | 000,018,090 | ---- | C] () -- C:\WINDOWS\System32\drivers\iMON_PAD.sys
[2009.10.16 00:58:38 | 000,000,312 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009.08.23 20:48:56 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2009.08.23 18:11:00 | 000,000,164 | ---- | C] () -- C:\WINDOWS\Cmicnfgp.ini.cfl
[2009.08.23 18:10:36 | 000,003,465 | ---- | C] () -- C:\WINDOWS\Cmicnfgp.ini.cfg
[2009.08.23 18:10:26 | 000,000,522 | ---- | C] () -- C:\WINDOWS\cmudaxp.ini
[2009.08.23 15:27:39 | 000,000,053 | ---- | C] () -- C:\WINDOWS\System32\cmasiop.ini
[2009.08.16 19:29:35 | 000,819,200 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.08.16 19:29:35 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.08.16 19:06:43 | 000,000,090 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2009.08.16 18:00:09 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2009.08.16 17:04:57 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\AmdK8.sys
[2009.08.16 17:04:15 | 000,004,721 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.08.16 17:04:12 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008.11.06 18:33:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006.02.28 14:00:00 | 000,162,816 | ---- | C] () -- C:\WINDOWS\System32\drivers\netbt.sys

========== LOP Check ==========

[2009.10.03 14:30:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Azureus
[2009.08.30 12:01:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\CMUV
[2009.08.16 19:21:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DAEMON Tools Lite
[2010.08.01 23:03:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\F-Secure
[2009.08.16 23:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\InterVideo
[2010.08.02 01:31:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld
[2010.08.04 11:27:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SlySoft
[2010.03.02 20:06:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SOUNDGRAPH
[2009.08.16 22:27:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Team MediaPortal
[2010.08.01 19:37:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Temp
[2009.08.16 19:56:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Amazon
[2009.08.16 17:26:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\ASUS
[2010.07.11 19:59:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Azureus
[2010.08.01 19:26:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\BitTorrent
[2009.12.30 04:25:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Canneverbe_Limited
[2010.02.05 23:21:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\DAEMON Tools Lite
[2009.08.16 17:58:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Leadertech
[2009.11.29 13:10:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\OpenOffice.org
[2009.08.17 18:37:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Opera
[2010.03.02 21:27:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\SOUNDGRAPH
[2009.12.31 22:23:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Strokes 4.0
[2010.08.02 17:34:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\TrojanHunter
[2010.01.15 01:00:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Anwendungsdaten\uTorrent

========== Purity Check ==========



========== Custom Scans ==========


< %SYSTEMDRIVE%\*.* >
[2010.08.02 02:32:42 | 000,000,000 | ---- | M] () -- C:\23990098.$$$
[2009.01.19 21:10:55 | 001,372,464 | ---- | M] (Advanced Micro Devices, Inc.) -- C:\8-12_xp32-64_xcode_72274.exe
[2009.02.24 21:32:31 | 054,267,808 | ---- | M] (InterVideo ) -- C:\9.0B014.119-67214.DVD9.Plus.BD.from.9.0B014.48.UP.iUpgrade.exe
[2009.06.24 20:06:02 | 054,420,872 | ---- | M] (InterVideo ) -- C:\9.0B014.132-74098.DVD9.Plus.BD.from.9.0B014.48.UP.iUpgrade.exe
[2009.07.20 20:02:08 | 052,797,536 | ---- | M] (InterVideo ) -- C:\9.0B014.137-81377.DVD9.Plus.DVD.from.9.0B014.65.UP.iUpgrade.exe
[2009.08.23 17:51:00 | 000,922,113 | ---- | M] () -- C:\A780FullHD(1.50)Win.zip
[2009.07.07 18:39:30 | 003,559,856 | ---- | M] (Audiograbber Deutschland) -- C:\agsetup183se.exe
[2009.01.22 21:45:56 | 000,006,464 | ---- | M] () -- C:\AnyDVD & AnyDVD HD 6[1].5.1.9 Beta [mininova].torrent
[2009.01.22 20:49:16 | 000,002,138 | ---- | M] () -- C:\AnyDVD___AnyDVD_HD_6.5.1.8_Final[MULTI][key].4667971.TPB.torrent
[2009.12.04 19:33:55 | 000,003,428 | ---- | M] () -- C:\AnyDVD___AnyDVD_HD_v6.6.0.3_FINAL___Reg_By_ChattChitto.5157902.TPB.torrent
[2009.01.17 23:26:45 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2009.01.18 22:52:50 | 002,018,243 | ---- | M] () -- C:\AutoHotkey104706_Install.exe
[2009.01.18 21:56:27 | 008,352,136 | ---- | M] (AutoIt Team) -- C:\autoit-v3-setup.exe
[2009.03.23 19:02:30 | 030,143,040 | ---- | M] () -- C:\avira_antivir_personal_de.exe
[2009.01.24 16:24:44 | 000,045,233 | ---- | M] () -- C:\Battlestar[1].Galactica.S04E12.720p.HDTV.x264-CTU.[eztv] [mininova].torrent
[2010.08.04 11:24:44 | 000,000,223 | ---- | M] () -- C:\Boot.bak
[2010.08.05 19:29:35 | 000,000,294 | RHS- | M] () -- C:\boot.ini
[2006.02.28 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2009.04.15 19:45:09 | 000,028,272 | ---- | M] () -- C:\Caprica.S01E00.Pilot.DVDRip.XviD-REWARD.[eztv].torrent
[2009.04.15 19:47:16 | 000,016,247 | ---- | M] () -- C:\Caprica[1].S01E00.EXTRAS.DVDRip.XviD-iNGOT [mininova].torrent
[2009.07.31 18:09:45 | 003,278,552 | ---- | M] (Piriform Ltd) -- C:\ccsetup222.exe
[2009.01.25 16:20:28 | 003,183,182 | ---- | M] (Canneverbe Limited ) -- C:\cdbxp_setup_4.2.3.1110.exe
[2010.08.01 19:28:59 | 000,632,320 | ---- | M] () -- C:\CDmage1-01-5.exe
[2004.08.03 23:00:10 | 000,262,448 | ---- | M] () -- C:\cmldr
[2010.08.05 12:43:34 | 000,015,265 | ---- | M] () -- C:\ComboFix.txt
[2009.01.17 23:26:45 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2009.01.27 20:36:06 | 000,141,714 | ---- | M] () -- C:\CoreVorbis_1[1].0b6_20031215[Codec-Download.de].exe
[2009.03.14 20:35:54 | 000,034,997 | ---- | M] () -- C:\CyberLink_PowerDVD_Ultra_v9.0.1501_Multilingual.4753468.TPB.torrent
[2009.12.11 01:23:41 | 000,000,000 | ---- | M] () -- C:\Diagnostics.txt
[2009.08.23 15:35:57 | 096,921,976 | ---- | M] (Microsoft Corporation) -- C:\directx_mar2009_redist.exe
[2009.01.27 20:21:15 | 019,333,112 | ---- | M] (DivX, Inc.) -- C:\DivXInstaller.exe
[2009.01.18 17:46:12 | 000,209,405 | ---- | M] () -- C:\dvbfix.zip
[2009.04.07 22:50:41 | 052,599,664 | ---- | M] (InterVideo ) -- C:\DVD9.0.14.91_63207_Plus_iUpgrade.exe
[2009.02.03 21:06:39 | 000,145,528 | ---- | M] () -- C:\DXVAChecker_1.10.1.0.zip
[2009.01.18 19:32:47 | 003,967,642 | ---- | M] (ffdshow ) -- C:\ffdshow_beta6_rev2527_20081219.exe
[2009.03.07 00:09:29 | 004,653,240 | ---- | M] () -- C:\flashget196en.exe
[2009.07.09 21:15:56 | 000,411,509 | ---- | M] () -- C:\GSpot270a.zip
[2009.04.07 20:29:52 | 000,000,000 | ---- | M] () -- C:\HDDVD.txt
[2010.08.07 09:50:04 | 000,114,085 | ---- | M] () -- C:\infected.7z
[2009.01.17 23:26:45 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2009.02.05 20:49:03 | 000,045,239 | ---- | M] () -- C:\Knight[1].Rider.2008.S01E14.720p.HDTV.X264-DIMENSION.[eztv] [mininova].torrent
[2009.07.07 18:38:44 | 000,547,819 | ---- | M] () -- C:\lame3.98.zip
[2009.04.12 23:13:32 | 002,967,800 | ---- | M] (Malwarebytes Corporation ) -- C:\mbam-setup.exe
[2009.01.07 22:22:43 | 019,953,789 | ---- | M] () -- C:\mediaportal-svn-01-07-2009--22-21-Rev21306.rar
[2009.01.18 17:00:42 | 000,020,356 | ---- | M] () -- C:\MediaPortal.imo
[2009.04.11 12:52:25 | 030,561,799 | ---- | M] (Team MediaPortal) -- C:\MediaPortal_1.0.1_Setup.exe
[2009.01.07 23:17:06 | 017,647,847 | ---- | M] (Team MediaPortal) -- C:\MediaPortal_weekly-snapshot.exe
[2009.01.17 23:26:45 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2009.04.08 19:20:24 | 000,018,148 | ---- | M] () -- C:\msi_extractor_latest.zip
[2009.01.18 23:56:23 | 000,373,435 | ---- | M] () -- C:\MultiShortcut.rar
[2008.04.13 22:13:04 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.04.14 00:01:56 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2009.01.27 20:33:05 | 000,141,274 | ---- | M] () -- C:\ogg_vorbis_audio_codec.zip
[2010.08.07 02:17:32 | 000,004,138 | ---- | M] () -- C:\OTL.Txt
[2010.08.07 09:54:23 | 000,007,446 | ---- | M] () -- C:\OTLFixlog08072010_035240.log
[2010.07.18 06:07:56 | 000,552,960 | R--- | M] (OldTimer Tools) -- C:\OTLPE.exe
[2010.08.08 14:11:00 | 2145,386,496 | -HS- | M] () -- C:\pagefile.sys
[2009.06.21 19:06:38 | 024,449,920 | ---- | M] (PC Tools ) -- C:\sdsetup.exe
[2009.01.22 21:12:09 | 004,116,928 | ---- | M] () -- C:\SetupAnyDVD6518.exe
[2009.01.22 21:18:19 | 004,121,496 | ---- | M] () -- C:\SetupAnyDVD6519.exe
[2008.07.19 17:17:02 | 000,016,589 | ---- | M] () -- C:\ShortCuter_plugin.rar
[2009.07.30 00:59:01 | 000,000,002 | ---- | M] () -- C:\SMPCount.txt
[2009.07.09 21:33:59 | 028,752,673 | ---- | M] (eRightSoft ) -- C:\SUPERsetup_36.exe
[2009.01.22 23:02:34 | 002,207,280 | ---- | M] (C. Ghisler & Co.) -- C:\tcmd704a.exe
[2009.04.11 13:33:27 | 000,045,058 | ---- | M] () -- C:\Terminator.The.Sarah.Connor.Chronicles.S02E22.720p.HDTV.x264-CTU.[eztv].torrent
[2009.04.12 23:02:33 | 000,012,239 | ---- | M] () -- C:\TotalMedia_Theatre_v3.0.1.120_Platinum_incl._crack.4842831.TPB.torrent
[2009.01.07 23:19:04 | 002,326,092 | ---- | M] (Team MediaPortal) -- C:\TV-Server_weekly-snapshot.exe
[2009.04.08 19:07:26 | 005,073,078 | ---- | M] () -- C:\uniextract16_noinst.rar
[2010.08.01 20:07:41 | 000,238,080 | ---- | M] () -- C:\utorrentXP.exe
[2009.06.25 00:45:58 | 004,132,360 | ---- | M] (Microsoft Corporation) -- C:\vcredist_x86.exe
[2009.08.16 23:20:38 | 000,490,944 | ---- | M] () -- C:\vcredist_x86.log
[2009.06.29 19:05:42 | 000,089,815 | ---- | M] () -- C:\Virtuality.Pilot.720p.HDTV.X264-DIMENSION.[eztv].torrent
[2009.06.28 15:09:16 | 000,000,298 | ---- | M] () -- C:\Virtuality.Pilot.720p.HDTV.X264-DIMENSION.[eztv].[INFO]_[mininova].torrent
[2009.02.01 14:18:06 | 016,320,472 | ---- | M] () -- C:\vlc-0.9.8a-win32.exe
[2009.06.25 00:26:08 | 000,734,160 | ---- | M] () -- C:\VobSub_2.23.exe
[2009.01.18 19:30:29 | 000,391,083 | ---- | M] () -- C:\vsfilter.2.37_nt.exe
[2009.06.28 19:47:38 | 004,042,444 | ---- | M] (e-merge GmbH) -- C:\wace269i.exe
[2009.04.13 14:34:07 | 000,011,875 | ---- | M] () -- C:\x-Demonoid.com-x_ArcSoft_TotalMedia_Theater_BlurayHDDVD_Player_2_1_6_130.torrent

< %systemroot%\system32\*.wt >

< %systemroot%\system32\*.ruy >

< %systemroot%\Fonts\*.com >
[2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont

< %systemroot%\Fonts\*.dll >

< %systemroot%\Fonts\*.ini >
[2009.08.16 16:32:37 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini

< %systemroot%\Fonts\*.ini2 >

< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2008.07.06 14:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2008.07.06 12:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe

< %systemroot%\REPAIR\*.bak1 >

< %systemroot%\REPAIR\*.ini >

< %systemroot%\system32\*.jpg >

< %systemroot%\*.scr >

< %systemroot%\*._sy >

< %APPDATA%\Adobe\Update\*.* >

< %ALLUSERSPROFILE%\Favorites\*.* >

< %APPDATA%\Microsoft\*.* >

< %PROGRAMFILES%\*.* >

< %APPDATA%\Update\*.* >

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[2009.11.04 17:45:14 | 000,479,232 | ---- | M] (Advanced Micro Devices, Inc.) Unable to obtain MD5 -- C:\WINDOWS\system32\ATIDEMGX.dll

< %systemroot%\Tasks\*.job /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2009.08.16 18:16:52 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2009.08.16 18:16:51 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2009.08.16 18:16:51 | 000,462,848 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll

< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 07:52:34 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll

< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 07:52:34 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll

< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
< End of report >

gmer

G_MER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-08 16:32:17
Windows 5.1.2600 Service Pack 3
Running: gmer.com; Driver: C:\DOKUME~1\MPMEDI~1.000\LOKALE~1\Temp\uxtdypod.sys


---- Kernel code sections - GMER 1.0.15 ----

.rsrc C:\WINDOWS\system32\DRIVERS\AmdK8.sys entry point in ".rsrc" section [0xBA1C3014]
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB539A000, 0x2131D7, 0xE8000020]
init C:\WINDOWS\system32\drivers\iMON_PAD.sys entry point in "init" section [0xBA599CC0]
C:\Programme\CyberLink\PowerDVD\000.fcl entry point in "" section [0xA577E41C]
.clc C:\Programme\CyberLink\PowerDVD\000.fcl unknown last code section [0xA577F000, 0x1000, 0xE0000020]
.text C:\Programme\CyberLink\PowerDVD8\000.fcl section is writeable [0xA5760000, 0x2892, 0xE8000020]
.vmp2 C:\Programme\CyberLink\PowerDVD8\000.fcl entry point in ".vmp2" section [0xA5783050]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system\HsMgr.exe[620] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 10009160 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system\HsMgr.exe[620] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 10009080 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\SOUNDGRAPH\iMON\iMON.exe[848] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 01E79160 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\SOUNDGRAPH\iMON\iMON.exe[848] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 01E79080 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\gmer.com[868] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 10009160 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Dokumente und Einstellungen\MP.MEDIAPC.000\Desktop\gmer.com[868] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 10009080 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\System32\svchost.exe[1104] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 009C000A
.text C:\WINDOWS\System32\svchost.exe[1104] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 0234000A
.text C:\WINDOWS\System32\svchost.exe[1104] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 009B000C
.text C:\WINDOWS\System32\svchost.exe[1104] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 0101000A
.text C:\WINDOWS\System32\svchost.exe[1104] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 0240000A
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00A1000A
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00A2000A
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00A0000C
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[1516] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 01219160 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\Logitech\SetPoint\SetPoint.exe[1516] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 01219080 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\DVBViewer TE2\SkystarIR.exe[1536] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 10009160 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\DVBViewer TE2\SkystarIR.exe[1536] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 10009080 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[1780] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 10009160 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[1780] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 10009080 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2380] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 10009160 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2380] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 10009080 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\wscntfy.exe[3124] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 10009160 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\wscntfy.exe[3124] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 10009080 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)

---- Devices - GMER 1.0.15 ----

Device -> \Driver\atapi \Device\Harddisk0\DR0 89C48EC5

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBA 0x14 0xC6 0xE1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBA 0x14 0xC6 0xE1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBA 0x14 0xC6 0xE1 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBA 0x14 0xC6 0xE1 ...

---- Files - GMER 1.0.15 ----

File C:\System Volume Information\_restore{971DE40A-4E55-4597-BFA8-BDF42DC0E589}\RP12\A0057174.exe (size mismatch) 120320/59392 bytes executable
File C:\System Volume Information\_restore{971DE40A-4E55-4597-BFA8-BDF42DC0E589}\RP12\A0057230.exe (size mismatch) 120320/59392 bytes executable
File C:\System Volume Information\_restore{971DE40A-4E55-4597-BFA8-BDF42DC0E589}\RP12\A0057242.exe (size mismatch) 120320/59392 bytes executable
File C:\System Volume Information\_restore{971DE40A-4E55-4597-BFA8-BDF42DC0E589}\RP12\A0057427.exe (size mismatch) 120320/59392 bytes executable
File C:\System Volume Information\_restore{971DE40A-4E55-4597-BFA8-BDF42DC0E589}\RP12\A0057639.exe (size mismatch) 120320/59392 bytes executable
File C:\System Volume Information\_restore{971DE40A-4E55-4597-BFA8-BDF42DC0E589}\RP12\A0057899.exe (size mismatch) 120320/59392 bytes executable
File C:\System Volume Information\_restore{971DE40A-4E55-4597-BFA8-BDF42DC0E589}\RP12\A0058324.exe 137284 bytes executable
File C:\System Volume Information\_restore{971DE40A-4E55-4597-BFA8-BDF42DC0E589}\RP12\A0058342.exe 493568 bytes executable
File C:\System Volume Information\_restore{971DE40A-4E55-4597-BFA8-BDF42DC0E589}\RP12\A0058360.exe 384000 bytes
File C:\System Volume Information\_restore{971DE40A-4E55-4597-BFA8-BDF42DC0E589}\RP12\A0058323.dll 124928 bytes executable
File C:\WINDOWS\system32\DRIVERS\AmdK8.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----
--- --- ---

Larusso 08.08.2010 13:38
Irgendwo sitzt da ein Dropper -.- Alle Dateien sind wieder da.
ABer geh mal lieber neu aufsetzen

C:\TotalMedia_Theatre_v3.0.1.120_Platinum_incl._crack.4842831.TPB.torrent

Dateien, die crack.exe, keygen.exe oder patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten

ich56 08.08.2010 13:49
Hm, naja. Ok.
Trotzdem danke für deine Hilfe.

Larusso 08.08.2010 14:00
Dieses Thema scheint erledigt und wird aus den Abos gelöscht. Solltest Du das Thema erneut benötigen, bitte eine PN an mich.

Jeder andere möge bitte einen eigenen Thread starten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131