Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen (https://www.trojaner-board.de/89522-svchost-exe-versucht-verbindung-schaedlichen-seite-herzustellen.html)

Costa2000 15.08.2010 14:29
svchost.exe versucht eine Verbindung mit einer schädlichen Seite herzustellen
 
Hallo Leute,

vor etwa zwei Tagen war ich im Internet am surfen als plötzlich meherer Fenster sich öffneten und irgendetwas heruntergeladen wurde. Ich habe sofort reagiert und den Rechner über den Resetknopf ausgeschaltet. Als er dann wieder hochfuhr und ich ins Internet ging, öffneten sich urplötzlich immer wieder neue Fenster. Ich habe alle Fenster geschlossen, Antivir und Spybot aktuallisiert und laufen lassen. Es wurden insgesamt 16 Viren/Warnungen und schädliche Dateien gefunden. Ich dachte das Problem wäre damit behoben aber Pustekuchen. Daraufhin installierte ich noch Ad-Aware und Hijackthis. Ad-Aware fand auch noch mal 13 Viren/Warnungen und verdächtige Dateien. Hijackthis habe ich auch einmal scannen lassen und die Logdatei online überprüfen lassen. Jedch war alles im grünen Bereich. Es öffnen sich jetzt zwar keine Fenster mehr, allerdings bekomme ich immer wieder folgenden ähnlichen Hinweis von Ad-Aware:

"Ad-Watch Life hat verhindert das svchost.exe eine Verbindung zu einer schädlichen Seite herstellt." Mit IP-Adresse und Portangabe.

oder

"Ad-Watch Life hat verhindert das firefox.exe eine Verbindung zu einer schädlichen Seite herstellt." Mit IP-Adresse und Portangabe.

Ich hatte noch nie größere Probleme mit meinem System. Alles lief sehr stabil und ohne Abstürze. Als Betriebsystem benutze ich XP Pro mit SP2 und Firefox als Browser. Zum Schutz des PCs habe ich Antivir, Spybot und XP-Antispy installiert. Seit zwei Tagen nun auch noch Ad-Aware.

Ein weiteres Problem, welches ich soeben entdeckt habe ist, sobald ich einen Mailto-Link anklicke und eine Mail schreiben möchte stürzt Firefox ab und folgender Fehler wird in einem Fenster dargestellt:

"Ein Problem ist aufgetreten und Firefox ist abgestürzt. Es wird versucht, Ihre Tabs und Fenster bei einem Neustart wiederherzustellen..."

Ich bin mir fast sicher, dass dieses Problem mit dem Virus oder was auch immer es ist, den ich mir vor zwei Tagen eingefangen habe zusammenhängt.

Wer kann mir weiterhelfen?

Vielen Dank im Voraus.

Gruß
Costa

cosinus 15.08.2010 20:00
Zitat:
Es wurden insgesamt 16 Viren/Warnungen und schädliche Dateien gefunden.
Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

Costa2000 16.08.2010 09:09
Hallo Cosinus,

ich habe die Programme Malwarebytes "Anti-Malware" und OTL heruntergeladen und durchgeführt. Ich denke, dass könnte weiterhelfen.

Der erste Scan mit Malwarebytes ist ein QUICKSCAN gewesen:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4434

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

16.08.2010 00:00:11
mbam-log-2010-08-16 (00-00-11).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 139236
Laufzeit: 5 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\INCG9WP8HQ (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XTF1BQO4MU (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\incg9wp8hq (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\Programme\Mozilla Firefox\0.4042669355472518.exe (Spyware.Passwords) -> No action taken.
C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\syscron.exe (Heuristics.Shuriken) -> No action taken.
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\e.exe (Spyware.Passwords) -> No action taken.
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\FwPjLEfAqY.exe (Rogue.Security.Tool) -> No action taken.
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\14C.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\14D.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\7B.tmp (Rootkit.TDSS) -> No action taken.
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\48.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\4E.tmp (Rootkit.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\usernt.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\drivers\asc3550p.sys (Rootkit.Agent) -> No action taken.



Der zweite Scan mit Malwarebytes ist ein VOLLSCAN gewesen:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4434

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

16.08.2010 00:58:33
mbam-log-2010-08-16 (00-58-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 227723
Laufzeit: 50 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Eshye\meisz.exe (Heuristics.Shuriken) -> No action taken.
C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\hc.exe (Rogue.Installer) -> No action taken.
C:\Programme\Ascaron Entertainment\Port Royale 2\dsetup.dll (Malware.Packer.Gen) -> No action taken.

Gruß
Costa

Costa2000 16.08.2010 09:12
Und hier habe ich die beiden OTL Logfiles:OTL Logfile:
Code:
OTL logfile created on: 16.08.2010 01:08:14 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 66,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 172,77 Gb Total Space | 138,06 Gb Free Space | 79,91% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
Drive I: | 97,66 Gb Total Space | 79,74 Gb Free Space | 81,65% Space Free | Partition Type: NTFS
Drive J: | 97,66 Gb Total Space | 4,88 Gb Free Space | 5,00% Space Free | Partition Type: NTFS
Drive K: | 97,66 Gb Total Space | 59,57 Gb Free Space | 60,99% Space Free | Partition Type: NTFS
 
Computer Name: COMPUTER
Current User Name: Benutzername
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
 
========== Processes (SafeList) ==========
 
PRC - [2010.08.16 00:07:11 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\OTL.exe
PRC - [2010.08.15 00:50:31 | 001,355,416 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
PRC - [2010.08.15 00:50:31 | 000,864,624 | ---- | M] (Lavasoft) -- C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
PRC - [2010.07.25 14:43:52 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.07.11 11:42:46 | 002,199,040 | ---- | M] () -- C:\Programme\Rainlendar2\Rainlendar2.exe
PRC - [2010.04.30 23:09:04 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.02 11:28:23 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.03.05 17:07:20 | 002,260,480 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2007.06.13 15:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.02.16 19:49:50 | 000,411,168 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2005.11.21 12:34:24 | 000,081,920 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE
PRC - [2005.11.15 04:07:28 | 000,679,936 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\StCenter.exe
PRC - [2004.08.04 14:00:00 | 000,060,416 | ---- | M] (Microsoft Corporation) -- C:\Programme\Outlook Express\msimn.exe
PRC - [2003.05.15 01:19:50 | 000,217,193 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
PRC - [2003.03.19 17:43:00 | 000,065,536 | ---- | M] (Brother Industries, Ltd.) -- C:\WINDOWS\system32\Brmfrmps.exe
PRC - [2003.02.06 16:08:54 | 001,572,864 | ---- | M] (Scansoft, Inc.) -- C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
PRC - [2002.08.08 10:38:16 | 000,045,108 | ---- | M] (ScanSoft, Inc.) -- C:\Programme\Scansoft\PaperPort\pptd40nt.exe
PRC - [2001.08.17 14:36:38 | 000,032,256 | ---- | M] (Brother Industries, Ltd.) -- C:\WINDOWS\system32\BrmfRsmg.exe
PRC - [2001.02.23 11:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.08.16 00:07:11 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\OTL.exe
MOD - [2006.08.25 09:46:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
MOD - [2004.08.04 14:00:00 | 000,102,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010.08.15 00:50:31 | 001,355,416 | ---- | M] (Lavasoft) [Auto | Running] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2010.04.30 23:09:04 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.10.24 15:17:52 | 000,145,248 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2007.02.16 19:49:50 | 000,411,168 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2006.10.02 19:58:06 | 000,024,072 | ---- | M] (TuneUp Software GmbH) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2005.11.21 12:34:24 | 000,081,920 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (AVM IGD CTRL Service)
SRV - [2005.11.21 11:48:06 | 000,315,392 | ---- | M] (AVM Berlin) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe -- (de_serv)
SRV - [2005.04.04 01:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2004.09.29 12:14:36 | 000,069,632 | ---- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
SRV - [2003.03.19 17:43:00 | 000,065,536 | ---- | M] (Brother Industries, Ltd.) [Auto | Running] -- C:\WINDOWS\System32\Brmfrmps.exe -- (brmfrmps)
SRV - [2001.02.23 11:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\w810mdm.sys -- (w810mdm)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\w810mdfl.sys -- (w810mdfl)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\w810bus.sys -- (w810bus) Sony Ericsson W810 Driver driver (WDM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys -- (SANDRA)
DRV - [2010.08.15 00:50:43 | 000,015,008 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\kernexplorer.sys -- (Lavasoft Kernexplorer)
DRV - [2010.08.14 20:34:03 | 000,095,024 | ---- | M] (Sunbelt Software) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SBREDrv.sys -- (SBRE)
DRV - [2010.06.21 19:44:11 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - [2010.03.01 10:05:19 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.02.16 14:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.11.30 15:17:47 | 000,021,504 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV51.sys -- (SSHDRV51)
DRV - [2009.11.24 15:27:38 | 000,053,760 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV76.sys -- (SSHDRV76)
DRV - [2009.11.21 04:34:54 | 010,235,968 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2009.11.13 05:00:01 | 000,281,504 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt)
DRV - [2009.11.13 05:00:01 | 000,025,888 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 13:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.12.20 21:07:51 | 000,392,320 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2008.12.20 21:07:51 | 000,032,768 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2008.12.20 21:07:34 | 000,114,048 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2008.04.11 16:14:32 | 000,097,728 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AnyDVD.sys -- (AnyDVD)
DRV - [2007.08.07 21:48:33 | 000,025,160 | ---- | M] (Elaborate Bytes AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys -- (ElbyCDIO)
DRV - [2006.06.27 11:42:14 | 003,972,672 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\alcxwdm.sys -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2006.03.21 11:19:50 | 000,060,672 | R--- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UDTT7049A.sys -- (UDTT7049A)
DRV - [2006.03.03 04:54:24 | 000,016,896 | R--- | M] (DTV-DVB) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UDTT7049HID.sys -- (UDTT7049HID)
DRV - [2005.09.30 06:52:22 | 000,013,056 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2005.09.30 06:52:20 | 000,034,048 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2005.08.18 10:52:06 | 000,093,568 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvata.sys -- (nvata)
DRV - [2005.06.27 09:14:35 | 000,066,560 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfvfs02.sys -- (sfvfs02) StarForce Protection VFS Driver (version 2.x)
DRV - [2005.05.17 14:48:21 | 000,050,176 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005.05.16 15:20:39 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)
DRV - [2004.08.13 04:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2004.08.04 14:00:00 | 000,095,360 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\atapi.sys -- (atapi)
DRV - [2004.08.04 14:00:00 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf)
DRV - [2004.08.04 00:10:14 | 000,015,360 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2004.04.30 09:37:02 | 000,160,640 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\a347bus.sys -- (a347bus)
DRV - [2004.04.30 09:33:00 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\a347scsi.sys -- (a347scsi)
DRV - [2003.03.14 02:04:20 | 000,061,952 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell)
DRV - [2002.09.16 18:32:08 | 000,004,228 | ---- | M] (PowerQuest Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\PQNTDRV.sys -- (PQNTDrv)
DRV - [2001.08.17 13:12:22 | 000,010,368 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrUsbScn.sys -- (BrUsbScn) Brother MFC-Scannertreiber (USB)
DRV - [2001.08.17 13:12:20 | 000,011,008 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrUsbMdm.sys -- (BrUsbMdm) Brother MFC-nur-Fax-Modem (USB)
DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "eBay"
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2
FF - prefs.js..extensions.enabledItems: 5
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..network.proxy.ftp: "localhost"
FF - prefs.js..network.proxy.ftp_port: 8118
FF - prefs.js..network.proxy.gopher: "localhost"
FF - prefs.js..network.proxy.gopher_port: 8118
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 8118
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 8118
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.08.10 11:55:48 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.12 15:28:45 | 000,000,000 | ---D | M]
 
[2009.01.10 12:26:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Extensions
[2010.08.15 14:20:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\extensions
[2010.07.10 04:29:49 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.04.03 22:31:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\extensions\firefox@tvunetworks.com
[2010.08.15 14:20:51 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.06.25 20:47:48 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.06.25 20:47:48 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.06.25 20:47:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.06.25 20:47:48 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.06.25 20:47:48 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.08.12 04:14:47 | 000,422,921 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1 99.189.54
O1 - Hosts: 127.0.0.1 99.189.52
O1 - Hosts: 127.0.0.1 99.14.103
O1 - Hosts: 127.0.0.1 98.223.73
O1 - Hosts: 127.0.0.1 97.80.137
O1 - Hosts: 127.0.0.1 95.134.16
O1 - Hosts: 127.0.0.1 95.133.8.
O1 - Hosts: 127.0.0.1 95.133.23
O1 - Hosts: 127.0.0.1 95.133.23
O1 - Hosts: 127.0.0.1 95.133.14
O1 - Hosts: 127.0.0.1 95.133.11
O1 - Hosts: 127.0.0.1 95.105.17
O1 - Hosts: 127.0.0.1 94.53.2.1
O1 - Hosts: 127.0.0.1 94.23.201
O1 - Hosts: 127.0.0.1 94.179.55
O1 - Hosts: 127.0.0.1 94.179.48
O1 - Hosts: 127.0.0.1 94.179.19
O1 - Hosts: 127.0.0.1 94.179.11
O1 - Hosts: 127.0.0.1 94.178.65
O1 - Hosts: 127.0.0.1 93.39.197
O1 - Hosts: 127.0.0.1 93.186.17
O1 - Hosts: 127.0.0.1 93.136.83
O1 - Hosts: 127.0.0.1 93.112.91
O1 - Hosts: 127.0.0.1 92.86.197
O1 - Hosts: 14678 more lines...
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe ()
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl03a\BrStDvPt.exe ()
O4 - HKCU..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe ()
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SmartUI.lnk = C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe (Scansoft, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoUserNameInStartMenu = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: MaxRecentDocs = 11
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\ACD Hintergrund.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\ACD Hintergrund.bmp
O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.12.19 17:59:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.16 00:07:10 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\OTL.exe
[2010.08.15 23:53:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Malwarebytes
[2010.08.15 23:53:02 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.08.15 23:53:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.08.15 23:53:00 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.08.15 23:53:00 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.08.15 23:51:39 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\mbam-setup.exe
[2010.08.15 23:33:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Identities
[2010.08.15 14:41:22 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Benutzername\Recent
[2010.08.15 14:32:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Bilder Kopie
[2010.08.15 14:15:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2010.08.15 00:50:49 | 000,064,288 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys
[2010.08.15 00:47:27 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{90FF8911-FC06-4E49-8959-C3CF1CA226BB}
[2010.08.15 00:47:14 | 000,000,000 | ---D | C] -- C:\Programme\Lavasoft
[2010.08.15 00:44:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Ad-Al.8.3
[2010.08.15 00:21:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\backups
[2010.08.14 22:52:09 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\HiJackThis204.exe
[2010.08.14 20:34:03 | 000,095,024 | ---- | C] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.08.14 20:25:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
[2010.08.14 20:24:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
[2010.08.14 20:19:32 | 128,750,008 | ---- | C] (Lavasoft                                                                                                                                                                                                                                                                                                    ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Ad-AwareInstall.exe
[2010.08.14 16:00:24 | 000,000,000 | ---D | C] -- C:\Programme\Rainlendar2
[2010.08.14 03:43:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.08.13 15:48:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Die_Wahrheit___ber_Bauchmuskeln
[2010.08.12 15:28:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Adobe PDF 6.0
[2010.08.11 16:41:42 | 000,839,680 | ---- | C] (hxxp://www.mp3dev.org/) -- C:\WINDOWS\System32\lameACM.acm
[2010.08.11 16:41:41 | 000,217,088 | ---- | C] (www.helixcommunity.org) -- C:\WINDOWS\System32\yv12vfw.dll
[2010.08.11 16:41:41 | 000,151,552 | ---- | C] (fccHandler) -- C:\WINDOWS\System32\ac3acm.acm
[2010.08.11 16:35:20 | 015,166,257 | ---- | C] (                                                            ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\K-Lite_Codec_Pack_620_Full.exe
[2010.08.10 11:43:59 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Apple
[2010.08.10 11:42:36 | 033,850,672 | ---- | C] (Apple Inc.) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\QuickTimeInstaller.exe
[2010.08.05 16:36:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Baahme
[2010.08.01 01:06:48 | 000,000,000 | ---D | C] -- C:\Programme\Uconomix
[2010.08.01 01:06:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\uMarkPro1_3Setup
[2010.07.31 21:20:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla-Cache
[2010.07.23 13:19:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\TeamViewer
[2010.07.21 22:52:40 | 000,000,000 | ---D | C] -- C:\Programme\Hardcopy
[2010.07.21 22:52:19 | 000,501,760 | ---- | C] (www.sw4you.de Siegfried Weckmann) -- C:\WINDOWS\SwSetupu.exe
[2010.07.21 22:49:25 | 017,327,195 | ---- | C] (Mooii) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\PhotoScapeSetup_V3.5.exe
[2010.07.20 00:53:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Buttons and Icons
[2010.07.18 22:23:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\foxit-pdf-editor-2.1.0-build-0119
[2009.04.29 00:06:15 | 000,160,640 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347bus.sys
[2009.04.29 00:06:15 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\a347scsi.sys
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.16 01:02:27 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job
[2010.08.16 01:02:27 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2010.08.16 01:02:27 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2010.08.16 01:02:27 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job
[2010.08.16 01:01:41 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.08.16 01:01:36 | 000,002,160 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini
[2010.08.16 01:01:24 | 000,272,291 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.08.16 01:01:20 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.08.16 01:01:19 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.16 01:01:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.16 00:59:34 | 010,485,760 | -H-- | M] () -- C:\Dokumente und Einstellungen\Benutzername\NTUSER.DAT
[2010.08.16 00:42:01 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.08.16 00:07:11 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\OTL.exe
[2010.08.15 23:53:05 | 000,000,686 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.15 23:51:46 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\mbam-setup.exe
[2010.08.15 23:36:16 | 000,003,327 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Doku225588ment.rtf
[2010.08.15 22:14:53 | 000,041,195 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Vivien1.jpg
[2010.08.15 22:14:38 | 000,030,996 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Vivien2.jpg
[2010.08.15 21:51:52 | 000,068,130 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Ladeliste1508_Firefox_Profiles_m51lj4ia.pdf
[2010.08.15 21:49:22 | 000,105,456 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\LabelPr1508ofiles_m51lj4ia.pdf
[2010.08.15 16:31:54 | 000,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Desktop\Microsoft Word.lnk
[2010.08.15 14:34:41 | 000,036,864 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.08.14 23:11:27 | 000,025,208 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.08.14 22:52:09 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\HiJackThis204.exe
[2010.08.14 20:34:03 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.08.14 20:22:31 | 128,750,008 | ---- | M] (Lavasoft                                                                                                                                                                                                                                                                                                    ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Ad-AwareInstall.exe
[2010.08.14 16:00:00 | 005,295,153 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Rainlendar-Lite-2.7-32bit.exe
[2010.08.14 05:29:29 | 000,139,648 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.08.14 05:28:11 | 000,932,660 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.08.14 05:28:11 | 000,420,824 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.08.14 05:28:11 | 000,405,388 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.08.14 05:28:11 | 000,076,538 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.08.14 05:28:11 | 000,063,222 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.08.14 05:04:18 | 000,025,208 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.08.14 04:59:31 | 000,000,621 | ---- | M] () -- C:\WINDOWS\wininit.ini
[2010.08.13 17:15:00 | 000,000,410 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2010.08.12 20:10:50 | 000,069,656 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\11221lj4ia.pdf
[2010.08.12 20:09:48 | 000,021,595 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\1111111111111n_Mozilla_.pdf
[2010.08.12 15:59:01 | 000,002,519 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Desktop\Microsoft FrontPage.lnk
[2010.08.12 15:28:46 | 000,001,814 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
[2010.08.12 04:14:47 | 000,422,921 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.08.12 04:11:42 | 000,422,921 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100812-041447.backup
[2010.08.12 04:02:49 | 000,000,162 | -H-- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\~$L01FFF.doc
[2010.08.12 03:51:16 | 000,422,921 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100812-041142.backup
[2010.08.12 02:37:53 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Benutzername\ntuser.ini
[2010.08.11 16:37:32 | 015,166,257 | ---- | M] (                                                            ) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\K-Lite_Codec_Pack_620_Full.exe
[2010.08.10 12:20:12 | 035,297,702 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Big_booty_Milf_squirting.flv
[2010.08.10 11:43:21 | 033,850,672 | ---- | M] (Apple Inc.) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\QuickTimeInstaller.exe
[2010.08.08 08:03:59 | 003,686,454 | ---- | M] () -- C:\WINDOWS\ACD Hintergrund.bmp
[2010.08.05 19:33:29 | 000,002,441 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\uMark Professional.lnk
[2010.08.05 15:52:42 | 000,023,309 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\.recently-used.xbel
[2010.08.04 19:57:39 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.08.03 16:23:36 | 006,790,294 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\BobHome2008.pdf
[2010.07.28 23:39:54 | 000,196,410 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Anlage-EKS-Erklaerung-Einkommen-Selbstaendiger.pdf
[2010.07.25 20:36:29 | 000,017,551 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Amazon.de - Bestellung 028-...pdf
[2010.07.25 14:43:40 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.21 22:50:46 | 017,327,195 | ---- | M] (Mooii) -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\PhotoScapeSetup_V3.5.exe
[2010.07.18 22:28:32 | 000,001,066 | ---- | M] () -- C:\Dokumente und Einstellungen\Benutzername\Desktop\PDFEdit.lnk
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.15 23:53:05 | 000,000,686 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.08.15 23:36:16 | 000,003,327 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Doku225588ment.rtf
[2010.08.15 22:59:25 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 4).job
[2010.08.15 22:59:25 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2010.08.15 22:59:24 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2010.08.15 22:59:24 | 000,000,470 | ---- | C] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job
[2010.08.15 22:14:53 | 000,041,195 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Vivien1.jpg
[2010.08.15 22:14:37 | 000,030,996 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Vivien2.jpg
[2010.08.15 21:51:52 | 000,068,130 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Ladeliste1508_Firefox_Profiles_m51lj4ia.pdf
[2010.08.15 21:49:22 | 000,105,456 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\LabelPr1508ofiles_m51lj4ia.pdf
[2010.08.15 14:38:50 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2010.08.14 15:59:54 | 005,295,153 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Rainlendar-Lite-2.7-32bit.exe
[2010.08.14 03:29:12 | 000,005,120 | -HS- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Thumbs.db
[2010.08.12 20:10:50 | 000,069,656 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\11221lj4ia.pdf
[2010.08.12 20:09:48 | 000,021,595 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\1111111111111n_Mozilla_.pdf
[2010.08.12 15:28:46 | 000,001,814 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
[2010.08.12 04:02:49 | 000,000,162 | -H-- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\~$L01FFF.doc
[2010.08.11 16:41:43 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini
[2010.08.11 16:41:42 | 000,000,414 | ---- | C] () -- C:\WINDOWS\System32\lame_acm.xml
[2010.08.11 16:41:41 | 000,790,528 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2010.08.11 16:41:41 | 000,134,144 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2010.08.11 16:41:41 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2010.08.11 16:41:41 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2010.08.10 12:12:28 | 035,297,702 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Big_booty_Milf_squirting.flv
[2010.08.05 15:52:42 | 000,023,309 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\.recently-used.xbel
[2010.08.04 19:57:39 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.08.03 16:23:36 | 006,790,294 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\BobHome2008.pdf
[2010.08.01 01:06:49 | 000,002,441 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\uMark Professional.lnk
[2010.07.28 23:39:54 | 000,196,410 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Anlage-EKS-Erklaerung-Einkommen-Selbstaendiger.pdf
[2010.07.25 20:36:29 | 000,017,551 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Amazon.de - Bestellung 028-...pdf
[2010.07.18 22:28:32 | 000,001,066 | ---- | C] () -- C:\Dokumente und Einstellungen\Benutzername\Desktop\PDFEdit.lnk
[2010.07.15 15:00:17 | 000,000,132 | ---- | C] () -- C:\WINDOWS\picture-shark.INI
[2010.05.28 16:46:38 | 000,000,040 | ---- | C] () -- C:\WINDOWS\opt_2460.ini
[2010.05.28 16:30:57 | 000,000,051 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2010.05.28 16:25:55 | 000,000,585 | ---- | C] () -- C:\WINDOWS\Brpcfx.ini
[2010.05.28 16:25:55 | 000,000,052 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2010.05.28 16:25:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brwmark.ini
[2010.05.28 16:23:40 | 000,000,767 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2010.05.28 15:57:52 | 000,002,160 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini
[2010.04.30 17:21:53 | 000,000,621 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2010.02.19 01:04:00 | 000,000,384 | ---- | C] () -- C:\WINDOWS\EasyCT.INI
[2010.02.11 17:13:37 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BlendSettings.ini
[2009.12.02 15:16:13 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2009.11.30 15:17:47 | 000,021,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV51.sys
[2009.11.24 15:27:38 | 000,053,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV76.sys
[2009.11.08 01:10:33 | 000,060,672 | R--- | C] () -- C:\WINDOWS\System32\drivers\UDTT7049A.sys
[2009.11.06 01:52:18 | 000,165,376 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2009.08.07 20:28:56 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\psfind.dll
[2009.05.07 03:25:57 | 000,000,059 | ---- | C] () -- C:\WINDOWS\Sysprns.dll
[2009.04.22 23:14:45 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys
[2009.01.27 23:55:08 | 000,281,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2009.01.27 23:55:08 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2008.12.20 02:22:41 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll
[2008.12.20 02:14:00 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2008.12.19 21:49:37 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2008.12.19 21:04:46 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.12.19 19:25:44 | 000,143,360 | R--- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2008.12.19 19:25:28 | 000,020,543 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.12.19 19:25:28 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2008.12.19 19:25:18 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.10.07 14:33:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2008.10.07 10:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2004.08.04 14:00:00 | 000,095,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\atapi.sys
[2004.05.12 07:31:54 | 000,002,550 | ---- | C] () -- C:\WINDOWS\PWRPLAY.INI
[2002.08.08 09:20:40 | 000,101,376 | ---- | C] () -- C:\WINDOWS\System32\Welsof32.dll
[2002.05.16 01:38:40 | 000,091,136 | ---- | C] () -- C:\WINDOWS\System32\mp4fil32.dll
[2002.05.04 15:19:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\avisynthEx.dll
[2002.03.21 16:39:02 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\UNACEV2.DLL
[2002.01.08 16:57:34 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\Jpeg32.dll
[1999.01.27 00:00:00 | 000,114,816 | ---- | C] () -- C:\WINDOWS\System32\MSMT4232.DLL
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:639B060CEB39B037
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0
< End of report >
--- --- ---

Costa2000 16.08.2010 09:18
Den zweiten OTL Scan kann ich momentan nicht posten. Irgendwie komm ich nicht durch oder ist der Text zu lang? Es heißt "Verbindung unterbrochen". Ich versuche es später noch einmal.

Danke.

Gruß
Costa

cosinus 16.08.2010 09:30
Zitat:
C:\Programme\Ascaron Entertainment\Port Royale 2\dsetup.dll (Malware.Packer.Gen) -> No action taken.
Wo hast du dieses Port Royale 2 her?

Costa2000 16.08.2010 09:31
Moin,

Port Royale 2 ist ein Spiel, eine Simulation so ähnlich wie "Pirates".

Costa2000 16.08.2010 09:32
Ich kann das zweite OTL Logfile nicht eingeben. Das scheint zu lang zu sein. Oder mache ich irgendetwas falsch?

cosinus 16.08.2010 09:45
Zitat:
Port Royale 2 ist ein Spiel, eine Simulation so ähnlich wie "Pirates".
Das beantwortet nicht meine Frage nach der Herkunft! Ohne Grund fndet Malwarebytes da keinen Schadcode!

Costa2000 16.08.2010 09:53
Ich besitze das Spiel als Originalversion. Ich habe es vor Jahren gekauft und installiert. Soweit ich mich erinnern kann habe ich es mal aktualisiert und gepatched.

cosinus 16.08.2010 09:59
Gepatcht heißt, du hast es mal aktualisiert?


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
FF - prefs.js..network.proxy.ftp: "localhost"
FF - prefs.js..network.proxy.ftp_port: 8118
FF - prefs.js..network.proxy.gopher: "localhost"
FF - prefs.js..network.proxy.gopher_port: 8118
FF - prefs.js..network.proxy.http: "localhost"
FF - prefs.js..network.proxy.http_port: 8118
FF - prefs.js..network.proxy.socks: "localhost"
FF - prefs.js..network.proxy.socks_port: 9050
FF - prefs.js..network.proxy.ssl: "localhost"
FF - prefs.js..network.proxy.ssl_port: 8118
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:639B060CEB39B037
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Costa2000 16.08.2010 11:17
Das Spiel habe ich irgendwann mal mit einem Patch aktualisiert z.B. von Version 1.1 auf 1.2.


All processes killed
========== OTL ==========
Prefs.js: "localhost" removed from network.proxy.ftp
Prefs.js: 8118 removed from network.proxy.ftp_port
Prefs.js: "localhost" removed from network.proxy.gopher
Prefs.js: 8118 removed from network.proxy.gopher_port
Prefs.js: "localhost" removed from network.proxy.http
Prefs.js: 8118 removed from network.proxy.http_port
Prefs.js: "localhost" removed from network.proxy.socks
Prefs.js: 9050 removed from network.proxy.socks_port
Prefs.js: "localhost" removed from network.proxy.ssl
Prefs.js: 8118 removed from network.proxy.ssl_port
ADS C:\WINDOWS:639B060CEB39B037 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Benutzername
->Temp folder emptied: 1454125318 bytes
->Temporary Internet Files folder emptied: 85416 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 29894668 bytes
->Flash cache emptied: 5052 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 552 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 3061158 bytes
->Flash cache emptied: 866 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2216420 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1317485 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.422,00 mb


OTL by OldTimer - Version 3.2.9.1 log created on 08162010_122258

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\S96A258C3.tmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...

cosinus 16.08.2010 11:26
Ok. Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Costa2000 16.08.2010 15:15
Combofix Logfile:
Code:
ComboFix 10-08-15.04 - Benutzername 16.08.2010  16:05:05.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Benutzername\Desktop\cofi.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winlogon.bak

c:\windows\system32\winlogon.exe . . . ist infiziert!!

Infizierte Kopie von c:\windows\system32\drivers\ssmdrv.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3550P
-------\Legacy_SSHNAS


(((((((((((((((((((((((  Dateien erstellt von 2010-07-16 bis 2010-08-16  ))))))))))))))))))))))))))))))
.

2010-08-16 10:22 . 2010-08-16 10:22        --------        d-----w-        C:\_OTL
2010-08-15 21:53 . 2010-08-15 21:53        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Malwarebytes
2010-08-15 21:53 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-15 21:53 . 2010-08-15 21:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-15 21:53 . 2010-08-15 21:53        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-15 21:53 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-15 12:38 . 2010-06-21 17:44        15880        ----a-w-        c:\windows\system32\lsdelete.exe
2010-08-14 22:50 . 2010-06-21 17:44        64288        ----a-w-        c:\windows\system32\drivers\Lbd.sys
2010-08-14 22:47 . 2010-08-14 22:47        --------        dc-h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{90FF8911-FC06-4E49-8959-C3CF1CA226BB}
2010-08-14 22:47 . 2010-06-21 17:52        2978768        -c--a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{90FF8911-FC06-4E49-8959-C3CF1CA226BB}\Ad-AwareInstall.exe
2010-08-14 22:47 . 2010-08-14 22:47        --------        d-----w-        c:\programme\Lavasoft
2010-08-14 18:34 . 2010-08-14 18:34        95024        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys
2010-08-14 18:25 . 2010-08-14 18:25        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-08-14 18:24 . 2010-08-14 22:47        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-08-14 14:00 . 2010-08-14 14:00        --------        d-----w-        c:\programme\Rainlendar2
2010-08-11 14:41 . 2010-07-14 08:00        108032        ----a-w-        c:\windows\system32\ff_vfw.dll
2010-08-11 14:41 . 2010-06-08 16:10        790528        ----a-w-        c:\windows\system32\xvidcore.dll
2010-08-11 14:41 . 2010-06-08 16:10        134144        ----a-w-        c:\windows\system32\xvidvfw.dll
2010-08-11 14:41 . 2004-01-25 16:18        217088        ----a-w-        c:\windows\system32\yv12vfw.dll
2010-08-10 09:43 . 2010-08-10 09:43        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple
2010-08-05 14:36 . 2010-08-14 02:59        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Baahme
2010-08-04 17:57 . 2010-08-04 17:57        664        ----a-w-        c:\windows\system32\d3d9caps.dat
2010-07-31 23:06 . 2010-07-31 23:06        --------        d-----w-        c:\programme\Uconomix
2010-07-31 19:20 . 2010-07-31 19:21        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla-Cache
2010-07-23 11:19 . 2010-07-23 11:19        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\TeamViewer
2010-07-21 20:52 . 2010-07-22 11:57        --------        d-----w-        c:\programme\Hardcopy
2010-07-21 20:52 . 2010-03-20 07:45        501760        ----a-w-        c:\windows\SwSetupu.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-16 13:59 . 2009-01-01 19:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-08-16 10:48 . 2008-12-19 23:29        0        --sh--w-        c:\windows\S96A258C3.tmp
2010-08-16 10:43 . 2008-12-21 15:28        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Media Player Classic
2010-08-16 10:43 . 2009-11-03 22:45        --------        d-----w-        c:\programme\CCleaner
2010-08-15 22:58 . 2010-07-07 13:56        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Eshye
2010-08-15 19:53 . 2008-12-19 19:08        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\AdobeUM
2010-08-14 19:52 . 2010-05-21 15:23        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Siidg
2010-08-14 03:28 . 2004-08-04 12:00        76538        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-14 03:28 . 2004-08-04 12:00        420824        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-14 03:19 . 2009-05-12 16:50        --------        d-----w-        c:\programme\IrfanView
2010-08-14 03:04 . 2008-12-19 19:09        25208        ----a-w-        c:\dokumente und einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-14 03:01 . 2008-12-20 00:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-14 02:59 . 2010-06-02 21:16        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Incaa
2010-08-14 02:54 . 2009-06-14 14:07        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Bemuev
2010-08-14 02:54 . 2009-11-06 06:31        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Adykem
2010-08-14 02:52 . 2010-07-10 02:52        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Xexuys
2010-08-14 02:43 . 2009-02-25 11:31        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Encoma
2010-08-14 02:43 . 2010-06-14 10:26        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Heirce
2010-08-14 02:43 . 2009-03-07 10:23        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Avedez
2010-08-14 02:43 . 2009-11-17 01:18        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Sovozo
2010-08-13 16:19 . 2010-03-24 02:16        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\aborange
2010-08-12 13:28 . 2008-12-19 19:06        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
2010-08-11 14:42 . 2009-11-05 23:52        --------        d-----w-        c:\programme\K-Lite Codec Pack
2010-08-10 09:55 . 2009-05-17 08:21        --------        d-----w-        c:\programme\QuickTime
2010-08-05 13:52 . 2010-06-14 09:54        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\gtk-2.0
2010-07-31 23:29 . 2010-07-15 13:01        --------        d-----w-        c:\programme\PMlabs
2010-07-16 22:57 . 2010-04-18 00:53        --------        d-----w-        c:\programme\MSECache
2010-07-15 13:00 . 2010-07-15 12:51        --------        d-----w-        c:\programme\picture-shark
2010-06-14 14:30 . 2008-12-19 15:57        743936        ----a-w-        c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-05-28 14:25 . 2010-05-28 14:25        50        ----a-w-        c:\windows\system32\m8440def.dat
.

------- Sigcheck -------

[-] 2008-12-19 . 33AA1F31DE9099BB306F4195FEC61421 . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"PaperPort PTD"="c:\programme\Scansoft\PaperPort\pptd40nt.exe" [2002-08-08 45108]
"IndexSearch"="c:\programme\Scansoft\PaperPort\IndexSearch.exe" [2002-08-08 36864]
"SetDefPrt"="c:\programme\Brother\Brmfl03a\BrStDvPt.exe" [2003-10-30 45056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Benutzername\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-12-19 679936]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]
SmartUI.lnk - c:\programme\Scansoft\PaperPort\SmartUI\SmartUI.exe [2003-2-6 1572864]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2007-02-16 17:49        149024        ----a-w-        c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
2007-02-17 12:35        1966928        ----a-w-        c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38        34672        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2008-04-11 05:42        2075584        ----a-w-        c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 12:00        15360        ----a-w-        c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
2004-12-15 12:59        176128        ----a-w-        c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2008-09-11 10:32        339240        ----a-w-        c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-11-20 19:32        12669544        ----a-w-        c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-11-20 19:32        110184        ----a-w-        c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-06-20 21:42        577536        ------r-        c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-31 13:23        149280        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2007-02-17 12:31        1194728        ----a-w-        c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
"i:\\eMule\\emule.exe"=
"c:\\Programme\\LeechFTP\\Leechftp.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Dokumente und Einstellungen\\Benutzername\\Eigene Dateien\\Warcraft III\\Warcraft III.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"51084:TCP"= 51084:TCP:Mumule
"59510:UDP"= 59510:UDP:Mumule

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [29.04.2009 00:06 5248]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [15.08.2010 00:50 64288]
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [14.08.2010 20:34 95024]
R1 SSHDRV51;SSHDRV51;c:\windows\system32\drivers\SSHDRV51.sys [30.11.2009 15:17 21504]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [24.11.2009 15:27 53760]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.11.2009 00:56 135336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [21.06.2010 19:44 1355416]
S2 gupdate1c98720debe81a0;Google Update Service (gupdate1c98720debe81a0);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2009 01:32 133104]
S3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [28.05.2010 15:57 2944]
S3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [14.03.2003 02:04 61952]
S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);c:\windows\system32\drivers\BrUsbMdm.sys [28.05.2010 15:57 11008]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);c:\windows\system32\drivers\BrUsbScn.sys [28.05.2010 15:57 10368]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [15.08.2010 00:50 15008]
S3 UDTT7049A;DTV-DVB 7049A DVB-T USB Stick;c:\windows\system32\drivers\UDTT7049A.sys [08.11.2009 01:10 60672]
S3 UDTT7049HID;UDTT7049HID - HID Driver;c:\windows\system32\drivers\UDTT7049HID.sys [08.11.2009 01:10 16896]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [29.04.2009 00:06 160640]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-08-13 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 17:58]

2010-08-16 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-06-21 22:50]

2010-08-16 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-06-21 22:50]

2010-08-16 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-06-21 22:50]

2010-08-16 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-06-21 22:50]

2010-08-16 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-01-01 21:38]

2010-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 23:32]

2010-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 23:32]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\
FF - prefs.js: browser.search.selectedEngine - eBay
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-nwiz - nwiz.exe
MSConfigStartUp-QuickTime Task - c:\programme\QuickTime\QTTask.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-16 16:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-515967899-179605362-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}\InProcServer32*]
"kagchbgmdlecloambmbnng"=hex:62,61,67,66,00,00
"jagcicenacilmeokbaec"=hex:63,61,61,66,6a,6e,00,6e
"iagcidcngiapaajiae"=hex:69,61,61,66,6d,6e,65,6e,6a,70,64,63,64,69,68,62,65,66,
  00,01
"kagcldppbpdimgpfhflgmm"=hex:63,61,63,66,68,6a,00,01
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(864)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(2636)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\windows\system32\Brmfrmps.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\unsecapp.exe
c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-16  16:16:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-16 14:15

Vor Suchlauf: 11 Verzeichnis(se), 149.579.038.720 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 149.437.743.104 Bytes frei

- - End Of File - - 83048A1354E3F94DA3A286C02186F5F1
--- --- ---

Costa2000 16.08.2010 15:17
Hallo Arne,

bin ich noch infiziert oder schon geheilt? ;)

Gruß
Costa

cosinus 16.08.2010 17:02
Immer mit der Ruhe, so schnell bin ich nicht! :eek:


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Regnull::
[HKEY_USERS\S-1-5-21-515967899-179605362-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}*]

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"51084:TCP"=-
"59510:UDP"=-

File::
c:\windows\S96A258C3.tmp
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Costa2000 16.08.2010 17:41
Combofix Logfile:
Code:
ComboFix 10-08-15.04 - Benutzername 16.08.2010  18:28:17.2.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Benutzername\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Benutzername\Desktop\CFScript.txt

FILE ::
"c:\windows\S96A258C3.tmp"
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\S96A258C3.tmp . . . . Nicht in der Lage zu löschen

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert
Kopie von - c:\qoobox\Quarantine\C\WINDOWS\system32\winlogon.bak.vir wurde wiederhergestellt

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-16 bis 2010-08-16  ))))))))))))))))))))))))))))))
.

2010-08-16 10:22 . 2010-08-16 10:22        --------        d-----w-        C:\_OTL
2010-08-15 21:53 . 2010-08-15 21:53        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Malwarebytes
2010-08-15 21:53 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-15 21:53 . 2010-08-15 21:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-15 21:53 . 2010-08-15 21:53        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-15 21:53 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-14 18:34 . 2010-08-14 18:34        95024        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys
2010-08-14 18:25 . 2010-08-14 18:25        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2010-08-14 18:24 . 2010-08-16 14:44        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-08-14 14:00 . 2010-08-14 14:00        --------        d-----w-        c:\programme\Rainlendar2
2010-08-11 14:41 . 2010-07-14 08:00        108032        ----a-w-        c:\windows\system32\ff_vfw.dll
2010-08-11 14:41 . 2010-06-08 16:10        790528        ----a-w-        c:\windows\system32\xvidcore.dll
2010-08-11 14:41 . 2010-06-08 16:10        134144        ----a-w-        c:\windows\system32\xvidvfw.dll
2010-08-11 14:41 . 2004-01-25 16:18        217088        ----a-w-        c:\windows\system32\yv12vfw.dll
2010-08-10 09:43 . 2010-08-10 09:43        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple
2010-08-05 14:36 . 2010-08-14 02:59        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Baahme
2010-08-04 17:57 . 2010-08-04 17:57        664        ----a-w-        c:\windows\system32\d3d9caps.dat
2010-07-31 23:06 . 2010-07-31 23:06        --------        d-----w-        c:\programme\Uconomix
2010-07-31 19:20 . 2010-07-31 19:21        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla-Cache
2010-07-23 11:19 . 2010-07-23 11:19        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\TeamViewer
2010-07-21 20:52 . 2010-07-22 11:57        --------        d-----w-        c:\programme\Hardcopy
2010-07-21 20:52 . 2010-03-20 07:45        501760        ----a-w-        c:\windows\SwSetupu.exe

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-16 16:33 . 2008-12-19 23:29        0        ----a-w-        c:\windows\S96A258C3.tmp
2010-08-16 15:03 . 2009-01-04 20:05        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\XnView
2010-08-16 14:49 . 2008-12-20 00:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-16 13:59 . 2009-01-01 19:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-08-16 10:43 . 2008-12-21 15:28        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Media Player Classic
2010-08-16 10:43 . 2009-11-03 22:45        --------        d-----w-        c:\programme\CCleaner
2010-08-15 22:58 . 2010-07-07 13:56        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Eshye
2010-08-15 19:53 . 2008-12-19 19:08        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\AdobeUM
2010-08-14 19:52 . 2010-05-21 15:23        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Siidg
2010-08-14 03:28 . 2004-08-04 12:00        76538        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-14 03:28 . 2004-08-04 12:00        420824        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-14 03:19 . 2009-05-12 16:50        --------        d-----w-        c:\programme\IrfanView
2010-08-14 03:04 . 2008-12-19 19:09        25208        ----a-w-        c:\dokumente und einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-14 02:59 . 2010-06-02 21:16        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Incaa
2010-08-14 02:54 . 2009-06-14 14:07        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Bemuev
2010-08-14 02:54 . 2009-11-06 06:31        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Adykem
2010-08-14 02:52 . 2010-07-10 02:52        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Xexuys
2010-08-14 02:43 . 2009-02-25 11:31        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Encoma
2010-08-14 02:43 . 2010-06-14 10:26        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Heirce
2010-08-14 02:43 . 2009-03-07 10:23        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Avedez
2010-08-14 02:43 . 2009-11-17 01:18        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Sovozo
2010-08-13 16:19 . 2010-03-24 02:16        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\aborange
2010-08-12 13:28 . 2008-12-19 19:06        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
2010-08-11 14:42 . 2009-11-05 23:52        --------        d-----w-        c:\programme\K-Lite Codec Pack
2010-08-10 09:55 . 2009-05-17 08:21        --------        d-----w-        c:\programme\QuickTime
2010-08-05 13:52 . 2010-06-14 09:54        --------        d-----w-        c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\gtk-2.0
2010-07-31 23:29 . 2010-07-15 13:01        --------        d-----w-        c:\programme\PMlabs
2010-07-16 22:57 . 2010-04-18 00:53        --------        d-----w-        c:\programme\MSECache
2010-07-15 13:00 . 2010-07-15 12:51        --------        d-----w-        c:\programme\picture-shark
2010-06-14 14:30 . 2008-12-19 15:57        743936        ----a-w-        c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-05-28 14:25 . 2010-05-28 14:25        50        ----a-w-        c:\windows\system32\m8440def.dat
.

(((((((((((((((((((((((((((((  SnapShot@2010-08-16_14.11.29  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-08-16 16:33 . 2010-08-16 16:33        16384              c:\windows\Temp\Perflib_Perfdata_208.dat
+ 2010-08-16 15:25 . 2010-08-16 15:25        16384              c:\windows\Temp\Perflib_Perfdata_180.dat
+ 2004-08-04 12:00 . 2004-08-04 12:00        507392              c:\windows\system32\winlogon.exe
- 2004-08-04 12:00 . 2008-12-19 17:35        507392              c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2010-07-11 2199040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"PaperPort PTD"="c:\programme\Scansoft\PaperPort\pptd40nt.exe" [2002-08-08 45108]
"IndexSearch"="c:\programme\Scansoft\PaperPort\IndexSearch.exe" [2002-08-08 36864]
"SetDefPrt"="c:\programme\Brother\Brmfl03a\BrStDvPt.exe" [2003-10-30 45056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Benutzername\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-12-19 679936]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]
SmartUI.lnk - c:\programme\Scansoft\PaperPort\SmartUI\SmartUI.exe [2003-2-6 1572864]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2007-02-16 17:49        149024        ----a-w-        c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
2007-02-17 12:35        1966928        ----a-w-        c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 01:38        34672        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2008-04-11 05:42        2075584        ----a-w-        c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 12:00        15360        ----a-w-        c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
2004-12-15 12:59        176128        ----a-w-        c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2008-09-11 10:32        339240        ----a-w-        c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-11-20 19:32        12669544        ----a-w-        c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-11-20 19:32        110184        ----a-w-        c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-06-20 21:42        577536        ------r-        c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-31 13:23        149280        ----a-w-        c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2007-02-17 12:31        1194728        ----a-w-        c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
"i:\\eMule\\emule.exe"=
"c:\\Programme\\LeechFTP\\Leechftp.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Dokumente und Einstellungen\\Benutzername\\Eigene Dateien\\Warcraft III\\Warcraft III.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [29.04.2009 00:06 5248]
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [14.08.2010 20:34 95024]
R1 SSHDRV51;SSHDRV51;c:\windows\system32\drivers\SSHDRV51.sys [30.11.2009 15:17 21504]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [24.11.2009 15:27 53760]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.11.2009 00:56 135336]
S2 gupdate1c98720debe81a0;Google Update Service (gupdate1c98720debe81a0);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2009 01:32 133104]
S3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [28.05.2010 15:57 2944]
S3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [14.03.2003 02:04 61952]
S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);c:\windows\system32\drivers\BrUsbMdm.sys [28.05.2010 15:57 11008]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);c:\windows\system32\drivers\BrUsbScn.sys [28.05.2010 15:57 10368]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 UDTT7049A;DTV-DVB 7049A DVB-T USB Stick;c:\windows\system32\drivers\UDTT7049A.sys [08.11.2009 01:10 60672]
S3 UDTT7049HID;UDTT7049HID - HID Driver;c:\windows\system32\drivers\UDTT7049HID.sys [08.11.2009 01:10 16896]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [29.04.2009 00:06 160640]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-08-13 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 17:58]

2010-08-16 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-01-01 21:38]

2010-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 23:32]

2010-08-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-04 23:32]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\
FF - prefs.js: browser.search.selectedEngine - eBay
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\m51lj4ia.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-16 18:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}\InProcServer32*]
"kagchbgmdlecloambmbnng"=hex:62,61,67,66,00,00
"jagcicenacilmeokbaec"=hex:63,61,61,66,6a,6e,00,6e
"iagcidcngiapaajiae"=hex:69,61,61,66,6d,6e,65,6e,6a,70,64,63,64,69,68,62,65,66,
  00,01
"kagcldppbpdimgpfhflgmm"=hex:63,61,63,66,68,6a,00,01
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(852)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(628)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\windows\system32\Brmfrmps.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-16  18:39:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-16 16:39
ComboFix2.txt  2010-08-16 14:16

Vor Suchlauf: 12 Verzeichnis(se), 149.778.329.600 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 149.762.183.168 Bytes frei

- - End Of File - - 1084FCF6060AD3F103AD951015EE8183
--- --- ---

Costa2000 16.08.2010 17:43
Hallo Arne,

ich habe es so durchgeführt wie Du gesagt hast. Allerdings wurde ich nach dem Neustart aufgefordert mein Betriebssystem bei Microsoft zu aktivieren und/oder zu registrieren. Ich habe es nur aktiviert. Ist das normal?

Danke.

Gruß
Costa

cosinus 16.08.2010 17:53
Ist schon so ok :D

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Costa2000 16.08.2010 19:08
GMER Logfile:
Code:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-16 20:04:43
Windows 5.1.2600 Service Pack 2
Running: mdz9nt9b.exe; Driver: C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\pgldqpoc.sys


---- System - GMER 1.0.15 ----

SSDT            A2B4D1CE                                                                                                  ZwCreateKey
SSDT            A2B4D1C4                                                                                                  ZwCreateThread
SSDT            A2B4D1D3                                                                                                  ZwDeleteKey
SSDT            A2B4D1DD                                                                                                  ZwDeleteValueKey
SSDT            A2B4D1E2                                                                                                  ZwLoadKey
SSDT            A2B4D1B0                                                                                                  ZwOpenProcess
SSDT            A2B4D1B5                                                                                                  ZwOpenThread
SSDT            A2B4D1EC                                                                                                  ZwReplaceKey
SSDT            A2B4D1E7                                                                                                  ZwRestoreKey
SSDT            A2B4D1D8                                                                                                  ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

?              Combo-Fix.sys                                                                                            Das System kann die angegebene Datei nicht finden. !
.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                  section is writeable [0xB55D2380, 0x5414D5, 0xE8000020]
.text          C:\WINDOWS\system32\drivers\SSHDRV76.sys                                                                  section is writeable [0xA2617000, 0x16204, 0xE8000020]
.pklstb        C:\WINDOWS\system32\drivers\SSHDRV76.sys                                                                  entry point in ".pklstb" section [0xA2635000]
.relo2          C:\WINDOWS\system32\drivers\SSHDRV76.sys                                                                  unknown last section [0xA2645000, 0x86, 0x42000040]
.text          C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                    section is writeable [0xA204E300, 0x3B638, 0xE8000020]
.text          C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                    section is writeable [0xB657A300, 0x1BEE, 0xE8000020]
?              C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\catchme.sys                                                            Das System kann die angegebene Datei nicht finden. !
?              C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\mbr.sys                                                                Das System kann die angegebene Datei nicht finden. !
?              C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                    snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume4                                                                    snapman.sys (Acronis Snapshot API/Acronis)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SOFTWARE\Classes\CLSID\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}\InProcServer32                       
Reg            HKLM\SOFTWARE\Classes\CLSID\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}\InProcServer32@kagchbgmdlecloambmbnng  0x62 0x61 0x67 0x66 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}\InProcServer32@jagcicenacilmeokbaec    0x63 0x61 0x61 0x66 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}\InProcServer32@iagcidcngiapaajiae      0x69 0x61 0x61 0x66 ...
Reg            HKLM\SOFTWARE\Classes\CLSID\{99473EB2-B3DA-06FC-4BBE-CD4A6D900243}\InProcServer32@kagcldppbpdimgpfhflgmm  0x63 0x61 0x63 0x66 ...

---- EOF - GMER 1.0.15 ----
--- --- ---

Costa2000 16.08.2010 19:09
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:09:09 on 16.08.2010

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.8

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Google Software Updater.job" - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"1-Klick-Wartung.job" - "TuneUp Software GmbH" - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl  (File found, but it contains no detailed information)
"ImageDrive.cpl" - "Ahead Software AG" - C:\WINDOWS\system32\ImageDrive.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a347scsi" (a347scsi) - " " - C:\WINDOWS\System32\Drivers\a347scsi.sys
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.SYS
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"mbr" (mbr) - ? - C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pgldqpoc" (pgldqpoc) - ? - C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\pgldqpoc.sys  (Hidden registry entry, rootkit activity | File not found)
"PQNTDrv" (PQNTDrv) - "PowerQuest Corporation" - C:\WINDOWS\system32\drivers\PQNTDrv.sys
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"SANDRA" (SANDRA) - ? - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys  (File not found)
"SBRE" (SBRE) - "Sunbelt Software" - C:\WINDOWS\system32\drivers\SBREdrv.sys
"Service for Realtek AC97 Audio (WDM)" (ALCXWDM) - "Realtek Semiconductor Corp." - C:\WINDOWS\System32\drivers\ALCXWDM.SYS
"Sony Ericsson W810 Driver driver (WDM)" (w810bus) - ? - C:\WINDOWS\System32\DRIVERS\w810bus.sys  (File not found)
"Sony Ericsson W810 USB WMC Modem Driver" (w810mdm) - ? - C:\WINDOWS\System32\DRIVERS\w810mdm.sys  (File not found)
"Sony Ericsson W810 USB WMC Modem Filter" (w810mdfl) - ? - C:\WINDOWS\System32\DRIVERS\w810mdfl.sys  (File not found)
"SSHDRV51" (SSHDRV51) - ? - C:\WINDOWS\system32\drivers\SSHDRV51.sys  (File found, but it contains no detailed information)
"SSHDRV76" (SSHDRV76) - ? - C:\WINDOWS\system32\drivers\SSHDRV76.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarForce Protection Environment Driver (version 1.x)" (sfdrv01) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfdrv01.sys
"StarForce Protection Helper Driver (version 2.x)" (sfhlp02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfhlp02.sys
"StarForce Protection VFS Driver (version 2.x)" (sfvfs02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfvfs02.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "{F9DB5320-233E-11D1-9F84-707F02C10627}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Extension" - "Acronis" - C:\Programme\Acronis\TrueImageHome\tishell.dll
{32020A01-506E-484D-A2A8-BE3CF17601C3} "AlcoholShellEx" - "Alcohol Soft Development Team" - C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - ? -  (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - ? -  (File not found | COM-object registry key not found)
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - ? -  (File not found | COM-object registry key not found)
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software GmbH" - C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software GmbH" - C:\WINDOWS\system32\uxtuneup.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{45670FA8-ED97-4F44-BC93-305082590BFB} "Windows XPS Document Metadata Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{44121072-A222-48f2-A58A-6D9AD51EBBE9} "Windows XPS Document Thumbnail Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"Klicke hier um das Projekt xp-AntiSpy zu unterstützen" - ? - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_16" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_16.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}" - ? -  (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@C:\Programme\Messenger\Msgslang.dll,-61144" - "Microsoft Corporation" - C:\Programme\Messenger\msmsgs.exe
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "AcroIEHlprObj Class" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
{AE7CD045-E861-484f-8273-0445EE161910} "AcroIEToolbarHelper Class" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Acronis" - C:\WINDOWS\system32\relog_ap.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Acrobat Assistant.lnk" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"SmartUI.lnk" - "Scansoft, Inc." - C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\desktop.ini
"FRITZ!DSL Startcenter.lnk" - "AVM Berlin" - C:\Programme\FRITZ!DSL\StCenter.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"MSMSGS" - "Microsoft Corporation" - "C:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
"Rainlendar2" - ? - C:\Programme\Rainlendar2\Rainlendar2.exe
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"IndexSearch" - ? - C:\Programme\Scansoft\PaperPort\IndexSearch.exe  (File found, but it contains no detailed information)
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"PaperPort PTD" - "ScanSoft, Inc." - C:\Programme\Scansoft\PaperPort\pptd40nt.exe
"SetDefPrt" - ? - C:\Programme\Brother\Brmfl03a\BrStDvPt.exe  (File found, but it contains no detailed information)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll
"hpzlnt07" - "HP" - C:\WINDOWS\system32\hpzlnt07.dll
"KM Language Monitor" - "KYOCERA MITA Corporation" - C:\WINDOWS\system32\KMPJLMN.DLL

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
"AVM IGD CTRL Service" (AVM IGD CTRL Service) - "AVM Berlin" - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
"Brother Popup Suspend service for Resource manager" (brmfrmps) - "Brother Industries, Ltd." - C:\WINDOWS\system32\Brmfrmps.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate1c98720debe81a0)" (gupdate1c98720debe81a0) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINDOWS\system32\HPZipm12.exe
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software GmbH" - C:\WINDOWS\System32\uxtuneup.dll

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Costa2000 16.08.2010 19:09
.\debug.cpp(238) : Debug log started at 16.08.2010 - 18:10:09
.\boot_cleaner.cpp(675) : Bootkit Remover
.\boot_cleaner.cpp(676) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(677) : www.esagelab.com
.\boot_cleaner.cpp(681) : Program version: 1.1.0.0
.\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x0020d000 "\WINDOWS\system32\ntkrnlpa.exe"
.\debug.cpp(256) : 0x806e4000 0x00020d00 "\WINDOWS\system32\hal.dll"
.\debug.cpp(256) : 0xb85a8000 0x00002000 "\WINDOWS\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xb84b8000 0x00003000 "\WINDOWS\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xb7f78000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xb85aa000 0x00002000 "\WINDOWS\system32\DRIVERS\WMILIB.SYS"
.\debug.cpp(256) : 0xb7f67000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xb80a8000 0x00009000 "isapnp.sys"
.\debug.cpp(256) : 0xb8670000 0x00001000 "pciide.sys"
.\debug.cpp(256) : 0xb8328000 0x00007000 "\WINDOWS\system32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xb80b8000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xb7f48000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xb85ac000 0x00002000 "dmload.sys"
.\debug.cpp(256) : 0xb7f22000 0x00026000 "dmio.sys"
.\debug.cpp(256) : 0xb8330000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xb80c8000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xb7f0a000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xb7ef3000 0x00017000 "nvata.sys"
.\debug.cpp(256) : 0xb85ae000 0x00002000 "a347scsi.sys"
.\debug.cpp(256) : 0xb7edb000 0x00018000 "\WINDOWS\System32\Drivers\SCSIPORT.SYS"
.\debug.cpp(256) : 0xb80d8000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xb80e8000 0x0000d000 "\WINDOWS\system32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xb7ebb000 0x00020000 "fltMgr.sys"
.\debug.cpp(256) : 0xb7ea9000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xb80f8000 0x00009000 "PxHelp20.sys"
.\debug.cpp(256) : 0xb7e92000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xb7e05000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0xb7dd8000 0x0002d000 "NDIS.sys"
.\debug.cpp(256) : 0xb7d78000 0x00060000 "timntr.sys"
.\debug.cpp(256) : 0xb8108000 0x0000f000 "Combo-Fix.sys"
.\debug.cpp(256) : 0xb7d5d000 0x0001b000 "snapman.sys"
.\debug.cpp(256) : 0xb7d49000 0x00014000 "sfvfs02.sys"
.\debug.cpp(256) : 0xb8338000 0x00008000 "sfhlp02.sys"
.\debug.cpp(256) : 0xb7d37000 0x00012000 "sfdrv01.sys"
.\debug.cpp(256) : 0xb7d1d000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xb8158000 0x0000a000 "\SystemRoot\system32\DRIVERS\processr.sys"
.\debug.cpp(256) : 0xb8478000 0x00007000 "\SystemRoot\system32\DRIVERS\fdc.sys"
.\debug.cpp(256) : 0xb6477000 0x00011000 "\SystemRoot\system32\DRIVERS\serial.sys"
.\debug.cpp(256) : 0xb67a7000 0x00004000 "\SystemRoot\system32\DRIVERS\serenum.sys"
.\debug.cpp(256) : 0xb6463000 0x00014000 "\SystemRoot\system32\DRIVERS\parport.sys"
.\debug.cpp(256) : 0xb8168000 0x0000d000 "\SystemRoot\system32\DRIVERS\i8042prt.sys"
.\debug.cpp(256) : 0xb8480000 0x00007000 "\SystemRoot\system32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xb8488000 0x00005000 "\SystemRoot\system32\DRIVERS\usbohci.sys"
.\debug.cpp(256) : 0xb643f000 0x00024000 "\SystemRoot\system32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xb8490000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xb6075000 0x003ca000 "\SystemRoot\system32\drivers\ALCXWDM.SYS"
.\debug.cpp(256) : 0xb6051000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys"
.\debug.cpp(256) : 0xb8178000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys"
.\debug.cpp(256) : 0xb602e000 0x00023000 "\SystemRoot\system32\drivers\ks.sys"
.\debug.cpp(256) : 0xb8188000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys"
.\debug.cpp(256) : 0xb6017000 0x00017000 "\SystemRoot\System32\Drivers\AnyDVD.sys"
.\debug.cpp(256) : 0xb8198000 0x0000d000 "\SystemRoot\system32\DRIVERS\cdrom.sys"
.\debug.cpp(256) : 0xb81a8000 0x0000f000 "\SystemRoot\system32\DRIVERS\redbook.sys"
.\debug.cpp(256) : 0xb679b000 0x00004000 "\SystemRoot\system32\DRIVERS\nvnetbus.sys"
.\debug.cpp(256) : 0xb5fcd000 0x0004a000 "\SystemRoot\system32\DRIVERS\NVNRM.SYS"
.\debug.cpp(256) : 0xb5f96000 0x00037000 "\SystemRoot\system32\DRIVERS\NVSNPU.SYS"
.\debug.cpp(256) : 0xb55d2000 0x009c4000 "\SystemRoot\system32\DRIVERS\nv4_mini.sys"
.\debug.cpp(256) : 0xb55be000 0x00014000 "\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xb85ec000 0x00002000 "\SystemRoot\system32\DRIVERS\ASACPI.sys"
.\debug.cpp(256) : 0xb86dd000 0x00001000 "\SystemRoot\system32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xb81b8000 0x0000d000 "\SystemRoot\system32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xb6797000 0x00003000 "\SystemRoot\system32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xb55a7000 0x00017000 "\SystemRoot\system32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xb81c8000 0x0000b000 "\SystemRoot\system32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xb81d8000 0x0000c000 "\SystemRoot\system32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xb8498000 0x00005000 "\SystemRoot\system32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xb5596000 0x00011000 "\SystemRoot\system32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xb81e8000 0x00009000 "\SystemRoot\system32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xb84a0000 0x00005000 "\SystemRoot\system32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xb84a8000 0x00005000 "\SystemRoot\system32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xb5565000 0x00031000 "\SystemRoot\system32\DRIVERS\rdpdr.sys"
.\debug.cpp(256) : 0xb81f8000 0x0000a000 "\SystemRoot\system32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xb8370000 0x00006000 "\SystemRoot\system32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xb85ee000 0x00002000 "\SystemRoot\system32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xb5531000 0x00034000 "\SystemRoot\system32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xb66ba000 0x00004000 "\SystemRoot\system32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xa8c1b000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xa3955000 0x00005000 "\SystemRoot\system32\DRIVERS\flpydisk.sys"
.\debug.cpp(256) : 0xa3ec0000 0x00009000 "\SystemRoot\system32\DRIVERS\NVENETFD.sys"
.\debug.cpp(256) : 0xa37ed000 0x0000f000 "\SystemRoot\system32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xb866e000 0x00002000 "\SystemRoot\system32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xa37dd000 0x0000a000 "\??\C:\WINDOWS\system32\drivers\SSHDRV51.sys"
.\debug.cpp(256) : 0xa2616000 0x00030000 "\??\C:\WINDOWS\system32\drivers\SSHDRV76.sys"
.\debug.cpp(256) : 0xa3626000 0x00003000 "\SystemRoot\system32\DRIVERS\hidusb.sys"
.\debug.cpp(256) : 0xa37bd000 0x00009000 "\SystemRoot\system32\DRIVERS\HIDCLASS.SYS"
.\debug.cpp(256) : 0xa393d000 0x00007000 "\SystemRoot\system32\DRIVERS\HIDPARSE.SYS"
.\debug.cpp(256) : 0xa4390000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xa2c5f000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xa438e000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xa2600000 0x00016000 "\??\C:\WINDOWS\system32\drivers\SBREdrv.sys"
.\debug.cpp(256) : 0xa3935000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xa438c000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xa438a000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xa392d000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xa3925000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xa361e000 0x00003000 "\SystemRoot\system32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xa25cd000 0x00013000 "\SystemRoot\system32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xa2575000 0x00058000 "\SystemRoot\system32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xa254d000 0x00028000 "\SystemRoot\system32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xa252b000 0x00022000 "\SystemRoot\system32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xa2509000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xa37ad000 0x00009000 "\SystemRoot\system32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xa379d000 0x00009000 "\SystemRoot\system32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xa359b000 0x00006000 "\SystemRoot\system32\DRIVERS\ssmdrv.sys"
.\debug.cpp(256) : 0xa24de000 0x0002b000 "\SystemRoot\system32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xa2b4f000 0x00001000 "\SystemRoot\System32\Drivers\PQNTDrv.SYS"
.\debug.cpp(256) : 0xa246f000 0x0006f000 "\SystemRoot\system32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xa378d000 0x00009000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xa2cc6000 0x00003000 "\SystemRoot\system32\DRIVERS\mouhid.sys"
.\debug.cpp(256) : 0xa3583000 0x00005000 "\SystemRoot\System32\Drivers\ElbyCDIO.sys"
.\debug.cpp(256) : 0xa244d000 0x00022000 "\SystemRoot\system32\DRIVERS\avipbb.sys"
.\debug.cpp(256) : 0xa4386000 0x00002000 "\??\C:\Programme\Avira\AntiVir Desktop\avgio.sys"
.\debug.cpp(256) : 0xa3344000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xa2436000 0x00017000 "\SystemRoot\System32\Drivers\dump_nvata.sys"
.\debug.cpp(256) : 0xa4380000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"
.\debug.cpp(256) : 0xbf800000 0x001c4000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xadfd5000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xa356b000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbd000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xa859f000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbd012000 0x005fe000 "\SystemRoot\System32\nv4_disp.dll"
.\debug.cpp(256) : 0xa21c0000 0x00015000 "\SystemRoot\system32\DRIVERS\avgntflt.sys"
.\debug.cpp(256) : 0xa2986000 0x00008000 "\SystemRoot\system32\DRIVERS\tifsfilt.sys"
.\debug.cpp(256) : 0xa492f000 0x00004000 "\SystemRoot\system32\DRIVERS\ndisuio.sys"
.\debug.cpp(256) : 0xb82f8000 0x00010000 "\SystemRoot\system32\DRIVERS\rspndr.sys"
.\debug.cpp(256) : 0xa211c000 0x0002c000 "\SystemRoot\system32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xa2107000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"
.\debug.cpp(256) : 0xa8c0b000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"
.\debug.cpp(256) : 0xb860a000 0x00002000 "\SystemRoot\System32\Drivers\ParVdm.SYS"
.\debug.cpp(256) : 0xa204e000 0x00043000 "\SystemRoot\system32\DRIVERS\atksgt.sys"
.\debug.cpp(256) : 0xb657a000 0x00005000 "\SystemRoot\system32\DRIVERS\lirsgt.sys"
.\debug.cpp(256) : 0xa1f57000 0x00057000 "\SystemRoot\system32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xa1c6e000 0x00041000 "\SystemRoot\System32\Drivers\HTTP.sys"
.\debug.cpp(256) : 0xb6542000 0x00008000 "\??\C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\catchme.sys"
.\debug.cpp(256) : 0xb8380000 0x00006000 "\??\C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\mbr.sys"
.\debug.cpp(256) : 0xb85dc000 0x00002000 "\??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS"
.\debug.cpp(256) : 0xa1891000 0x00017000 "\??\C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\pgldqpoc.sys"
.\debug.cpp(256) : 0xa1866000 0x0002b000 "\SystemRoot\system32\drivers\kmixer.sys"
.\debug.cpp(256) : 0x7c910000 0x000b9000 "\WINDOWS\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature8D52D00EOffset439BD2CC00Length186A629C00#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) : Destination="\Device\Ndis"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi3:"
.\debug.cpp(400) : Destination="\Device\NvAta1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{45D79C7B-2ED4-4005-94DF-5392D3BF3505}"
.\debug.cpp(400) : Destination="\Device\{45D79C7B-2ED4-4005-94DF-5392D3BF3505}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) : Destination="\Device\Video0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) : Destination="\Device\Video1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{71985f4a-1ca1-11d3-9cc8-00c04f7971e0}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000003b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmIoDaemon"
.\debug.cpp(400) : Destination="\Device\DmControl\DmIoDaemon"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\0000004b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) : Destination="\Device\Ip"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) : Destination="\Device\Video2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_05e3&Pid_0605#5&3a8ffae1&0&3#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E2AA92AA-CFCD-481C-8495-D9AE2B3A15AD}"
.\debug.cpp(400) : Destination="\Device\{E2AA92AA-CFCD-481C-8495-D9AE2B3A15AD}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:"
.\debug.cpp(400) : Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) : Destination="\Device\IPSEC"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio"
.\debug.cpp(400) : Destination="\Device\avgio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) : Destination="\Device\Video3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{A6EE3FD7-C039-41B2-9C8E-56E59DCE3580}"
.\debug.cpp(400) : Destination="\Device\{A6EE3FD7-C039-41B2-9C8E-56E59DCE3580}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ATKACPI"
.\debug.cpp(400) : Destination="\Device\ATKACPI"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\snapman"
.\debug.cpp(400) : Destination="\Device\snapman"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{e7bacec2-cde4-11dd-a21c-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) : Destination="\Device\NDProxy"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\TIFSFManager"
.\debug.cpp(400) : Destination="\Device\TIFSFManager"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9aa4a2cc-81e0-4cfd-802f-0f74526d2bd3}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CDR4_XP"
.\debug.cpp(400) : Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature8D52D00EOffset7E00Length2B316EB600#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\$VDMLPT1"
.\debug.cpp(400) : Destination="\Device\ParallelVdm0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0059&SUBSYS_822C1043&REV_A2#3&2411e6fe&0&20#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0005"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{fd0a5af4-b41d-11d2-9c95-00c04f7971e0}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\RdpDrDvMgr"
.\debug.cpp(400) : Destination="\Device\RdpDrDvMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) : Destination="\Device\WMIDataDevice"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM1"
.\debug.cpp(400) : Destination="\Device\Serial0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0059&SUBSYS_822C1043&REV_A2#3&2411e6fe&0&20#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0005"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt"
.\debug.cpp(400) : Destination="\FileSystem\Filters\avgntflt"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) : Destination="\Device\NamedPipe"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{e7bacec4-cde4-11dd-a21c-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature8D52D00EOffset5C0635E600Length186A629C00#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sfhlp02i"
.\debug.cpp(400) : Destination="\Device\sfhlp02i"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) : Destination="\Device\PSched"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) : Destination="\Device\Mup"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) : Destination="\Device\IPNAT"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_005A&SUBSYS_815A1043&REV_A2#3&2411e6fe&0&10#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{0a4252a0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{12b719c2-ce09-11dd-bb3f-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgrMsg"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) : Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) : Destination="\Device\USBFDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AcroVBus"
.\debug.cpp(400) : Destination="\Device\AcroVBus"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0059&SUBSYS_822C1043&REV_A2#3&2411e6fe&0&20#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0005"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) : Destination="\Device\VideoPdo0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&1e67b15b&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) : Destination="\Device\USBFDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000003f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sfdrv01"
.\debug.cpp(400) : Destination="\Device\sfdrv01"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVD-ROM_GDR8164B_______________0L06____#5&216482f0&0&0.1.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T1L0-e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) : Destination="\Device\Harddisk0\DR0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVD-ROM_GDR8164B_______________0L06____#5&216482f0&0&0.1.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T1L0-e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) : Destination="\DosDevices\LPT1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000003e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{cf1dda2c-9743-11d0-a3ee-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sfvfs02"
.\debug.cpp(400) : Destination="\Device\sfvfs02"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{32fe85a5-cdec-11dd-8e30-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"
.\debug.cpp(400) : Destination="\Device\sysaudio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_045e&Pid_008c&Col01#6&10c95cc6&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\0000007e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) : Destination="\Device\FsWrap"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0057&SUBSYS_812A1043&REV_F3#3&2411e6fe&0&50#{c4f6eed3-1c5e-4f43-a768-83ecba42fcc1}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0010"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000003d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom1"
.\debug.cpp(400) : Destination="\Device\CdRom1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000050"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) : Destination="\GLOBAL??"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\I:"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_045e&Pid_008c&Col03#6&10c95cc6&0&0002#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\00000080"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) : Destination="\Device\0000006e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{4D34ABD2-EBB3-4C79-89D2-44944066229D}"
.\debug.cpp(400) : Destination="\Device\{4D34ABD2-EBB3-4C79-89D2-44944066229D}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PxHelperDevice0"
.\debug.cpp(400) : Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature8D52D00EOffset2B316FB200Length186A629C00#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FDC#GENERIC_FLOPPY_DRIVE#5&20a15d93&0&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\FloppyPDO0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskHitachi_HDT725050VLA380_________________V56OA7EA#2020202020204656344A313034524C4433524B4A#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\00000077"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SBRE"
.\debug.cpp(400) : Destination="\Device\SBRE"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#AuthenticAMD_-_x86_Family_15_Model_67#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination="\Device\00000049"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#ThermalZone#THRM#{4afa3d51-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\0000004f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{e7bacec3-cde4-11dd-a21c-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#4&11b2e0cb&0#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000070"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{07dad660-22f1-11d1-a9f4-00c04fbbde8f}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\J:"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\catchme"
.\debug.cpp(400) : Destination="\Device\catchme"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) : Destination="\Device\0000006e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_005B&SUBSYS_815A1043&REV_A3#3&2411e6fe&0&11#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0004"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{1a3e09be-1e45-494b-9174-d7385b45bbf5}#NVNET_DEV0057#4&c964ba9&0&01#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000007a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sfdrv01i"
.\debug.cpp(400) : Destination="\Device\sfdrv01i"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) : Destination="\Device\MountPointManager"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVD-RAM_GSA-H58N_______________1.00____#5&216482f0&0&0.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\pgldqpoc"
.\debug.cpp(400) : Destination="\Device\pgldqpoc"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ssmctl"
.\debug.cpp(400) : Destination="\Device\ssmctl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SSHDRV51"
.\debug.cpp(400) : Destination="\Device\SSHDRV51"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&35297846&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000039"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#AuthenticAMD_-_x86_Family_15_Model_67#_1#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination="\Device\0000004a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbDlDp32"
.\debug.cpp(400) : Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmConfig"
.\debug.cpp(400) : Destination="\Device\DmControl\DmConfig"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\K:"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) : Destination="\Device\WANARP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0391&SUBSYS_820D1043&REV_A1#4&243d7bd0&0&0070#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0019"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sfhlp02"
.\debug.cpp(400) : Destination="\Device\sfhlp02"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\00000004"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVD-RAM_GSA-H58N_______________1.00____#5&216482f0&0&0.0.0#{1186654d-47b8-48b9-beb9-7df113ae3c67}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPTENUM#MicrosoftRawPort#5&1d62032d&0&LPT1#{811fc6a5-f728-11d0-a537-0000f8753ed1}"
.\debug.cpp(400) : Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#4&11b2e0cb&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000070"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmTrace"
.\debug.cpp(400) : Destination="\Device\DmControl\DmTrace"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\A:"
.\debug.cpp(400) : Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{C1884B24-DBB5-4346-AD09-EB7F8593C677}"
.\debug.cpp(400) : Destination="\Device\{C1884B24-DBB5-4346-AD09-EB7F8593C677}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) : Destination="\Device\NdisWanIp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sfvfs02i"
.\debug.cpp(400) : Destination="\Device\sfvfs02i"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#dmio#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\00000003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{12b719c0-ce09-11dd-bb3f-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ElbyCDIO"
.\debug.cpp(400) : Destination="\Device\ElbyCDIO"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{A51F9A8B-C5D7-442C-807E-5469C611FA45}"
.\debug.cpp(400) : Destination="\Device\{A51F9A8B-C5D7-442C-807E-5469C611FA45}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\lirsgt"
.\debug.cpp(400) : Destination="\Device\lirsgt"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{FD47A6ED-82EC-4669-9EF0-A7AF4F9CB982}"
.\debug.cpp(400) : Destination="\Device\{FD47A6ED-82EC-4669-9EF0-A7AF4F9CB982}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_045e&Pid_008c&Col02#6&10c95cc6&0&0001#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\0000007f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_045e&Pid_008c&Col01#6&10c95cc6&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\0000007e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0400#1#{97f76ef0-f883-11d0-af1f-0000f800845c}"
.\debug.cpp(400) : Destination="\Device\0000006f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000003c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) : Destination="\Device\ParTechInc0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) : Destination="\Device\NdisTapi"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) : Destination="\Device\NdisWan"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPT1"
.\debug.cpp(400) : Destination="\Device\NamedPipe\Spooler\LPT1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) : Destination="\Device\IPMULTICAST"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) : Destination="\Device\ParTechInc1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmLoader"
.\debug.cpp(400) : Destination="\Device\DmLoader"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{12b719c1-ce09-11dd-bb3f-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) : Destination="\Device\LanmanRedirector"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) : Destination="\Device\ParTechInc2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0059&SUBSYS_822C1043&REV_A2#3&2411e6fe&0&20#{dda54a40-1e4c-11d1-a050-405705c10000}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0005"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_045e&Pid_008c#5&36c701f9&0&1#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) : Destination="\Device\USBPDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) : Destination="\Device\FtControl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\mbr"
.\debug.cpp(400) : Destination="\Device\mbr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) : Destination="\Device\MailSlot"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVD-RAM_GSA-H58N_______________1.00____#5&216482f0&0&0.0.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP1T0L0-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) : Destination="\DosDevices\COM1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PQNTDRV"
.\debug.cpp(400) : Destination="\Device\PQNTDRV"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) : Destination=""

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\atksgt"
.\debug.cpp(400) : Destination="\Device\atksgt"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ndisuio"
.\debug.cpp(400) : Destination="\Device\Ndisuio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000042"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi2:"
.\debug.cpp(400) : Destination="\Device\NvAta0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) : Destination="\Device\Null"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NONSPOOLED_LPT1"
.\debug.cpp(400) : Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000041"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SSHDRV76"
.\debug.cpp(400) : Destination="\Device\SSHDRV76"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PROCEXP113"
.\debug.cpp(400) : Destination="\Device\PROCEXP113"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb"
.\debug.cpp(400) : Destination="\Device\avipbb"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmInfo"
.\debug.cpp(400) : Destination="\Device\DmControl\DmInfo"

.\debug.cpp(451) : **********************************************
.\boot_cleaner.cpp(1077) : System volume is \\.\C:
.\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(424) : Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf
.\boot_cleaner.cpp(1151) :
.\boot_cleaner.cpp(1152) : Size Device Name MBR Status
.\boot_cleaner.cpp(1153) : --------------------------------------------
.\boot_cleaner.cpp(1197) : 465 GB \\.\PhysicalDrive0 Unknown boot code
.\boot_cleaner.cpp(1203) :
.\boot_cleaner.cpp(1209) : Unknown boot code has been found on some of your physical disks.
.\boot_cleaner.cpp(1211) : To inspect the boot code manually, dump the master boot sector:
.\boot_cleaner.cpp(1212) : remover.exe dump <device_name> [output_file]
.\boot_cleaner.cpp(1216) : To disinfect the master boot sector, use the following command:
.\boot_cleaner.cpp(1217) : remover.exe fix <device_name>
.\boot_cleaner.cpp(1220) :
.\boot_cleaner.cpp(1242) : Done;

Costa2000 16.08.2010 19:12
Hi,

habe alles so durchgeführt wie Du gesagt hast.

1. Gmer
2. Osam
3. Bootkit

Gruß
Costa

cosinus 16.08.2010 20:27
Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:
Code:
remover.exe fix \\.\PhysicalDrive0

Costa2000 16.08.2010 21:07
Habe ich gemacht, jedoch kommt folgende Fehlermeldung:

Create File() Error 123
Error: Cant open physical drive device.

Done;
Press any key to quit...

cosinus 16.08.2010 21:09
Hm blöd :rolleyes:
Hast Du eine Windows-XP-Setup da?

Costa2000 16.08.2010 21:10
Was meinst Du mit Windows-XP-Setup?

cosinus 16.08.2010 21:11
Ne ganz normale Windows-XP-CD...

Costa2000 16.08.2010 21:12
Ja, ich habe eine Windows XP CD.

Einlegen?

cosinus 17.08.2010 08:24
Ja, von der starten. Wenn die geladen ist, kommst Du mit R in die Wiederherstellungskonsole. Dort ggf in die gefundene Windows-Installation einloggen.
Wenn das getan ist, dort bitte

fixboot [ENTER]
fixmbr [ENTER]

eintippen und ausführen (mit der ENTER/Return-Taste) - die Warnungen musst Du bestätigen.

Costa2000 17.08.2010 13:09
Hallo Arne,

vorab möchte ich noch wissen ob irgendetwas zurückversetzt wird. Ich meine wegen der Wiederherstellungkonsole. Die Daten auf dem Rechner sind zum Teil sehr wichtig, dass muss alles so bleiben wie es ist.

Wird etwas zurückversetzt oder bleib alles so wie es ist?

Wenn alles so bleibt, dann gehe ich so vor wie Du beschrieben hast.

Im übrigen will svchost.exe keine Verbindung mehr mit einer schädlichen Seite aufbauen, vermutlich haben die ersten Virenscans das Übel beseitigt.

Danke.

Gruß
Costa

cosinus 17.08.2010 13:21
Die Daten bleiben alle so, nur der MBR und die Startdateien werden neu geschrieben.

Costa2000 17.08.2010 13:49
Es klappt nicht.

Ich komme zwar in die Wiederherstellungskonstole, kann aber keine Windows-Installation anwählen.

Ich kann auch nur einen Buchstaben eingeben.

Ich habe dann nur die Eingabetaste betätigt um den Vorgang abzubrechen.

Was habe ich falsch gemacht?

cosinus 17.08.2010 14:07
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Costa2000 17.08.2010 14:14
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000071d

Kernel Drivers (total 143):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E4000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7F78000 ACPI.sys
0xB85AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB7F67000 pci.sys
0xB80A8000 isapnp.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7F48000 ftdisk.sys
0xB85AC000 dmload.sys
0xB7F22000 dmio.sys
0xB8330000 PartMgr.sys
0xB80C8000 VolSnap.sys
0xB7F0A000 atapi.sys
0xB7EF3000 nvata.sys
0xB85AE000 a347scsi.sys
0xB7EDB000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xB80D8000 disk.sys
0xB80E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB7EBB000 fltMgr.sys
0xB7EA9000 sr.sys
0xB80F8000 PxHelp20.sys
0xB7E92000 KSecDD.sys
0xB7E05000 Ntfs.sys
0xB7DD8000 NDIS.sys
0xB7D78000 timntr.sys
0xB7D5D000 snapman.sys
0xB7D49000 sfvfs02.sys
0xB8338000 sfhlp02.sys
0xB7D37000 sfdrv01.sys
0xB7D1D000 Mup.sys
0xB82B8000 \SystemRoot\system32\DRIVERS\processr.sys
0xB8468000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB645E000 \SystemRoot\system32\DRIVERS\serial.sys
0xB6792000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB644A000 \SystemRoot\system32\DRIVERS\parport.sys
0xB82C8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xB8470000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB8478000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB6426000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xB8480000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB605C000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xB6038000 \SystemRoot\system32\drivers\portcls.sys
0xB82D8000 \SystemRoot\system32\drivers\drmk.sys
0xB6015000 \SystemRoot\system32\drivers\ks.sys
0xB82E8000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB5FFE000 \SystemRoot\System32\Drivers\AnyDVD.sys
0xB82F8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB8308000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB6786000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xB5FB4000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xB5F7D000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
0xB55B9000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB55A5000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB85EC000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0xB86BA000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB8318000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xB6782000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB558E000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB8138000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB8148000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB8488000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB557D000 \SystemRoot\system32\DRIVERS\psched.sys
0xB8158000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xB8490000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xB8498000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB554C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xB8168000 \SystemRoot\system32\DRIVERS\termdd.sys
0xB8348000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB85EE000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB5518000 \SystemRoot\system32\DRIVERS\update.sys
0xB66B1000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xA902F000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAD473000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xA900F000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xA8FDF000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB85B0000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xA8FCF000 \??\C:\WINDOWS\system32\drivers\SSHDRV51.sys
0xA83FE000 \??\C:\WINDOWS\system32\drivers\SSHDRV76.sys
0xA4B50000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xA4769000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xA4AE4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xA4AD4000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB864E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA42E1000 \SystemRoot\System32\Drivers\Null.SYS
0xB8650000 \SystemRoot\System32\Drivers\Beep.SYS
0xA3A83000 \??\C:\WINDOWS\system32\drivers\SBREdrv.sys
0xA4ACC000 \SystemRoot\System32\drivers\vga.sys
0xB8652000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB8654000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA4AC4000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA4ABC000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA4B48000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA3A50000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA39F8000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA39D0000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA39AE000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA398C000 \SystemRoot\System32\drivers\afd.sys
0xA4759000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xA4749000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA4AB4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA3961000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA4196000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
0xA38F2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA4739000 \SystemRoot\System32\Drivers\Fips.SYS
0xA41F4000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xA38D0000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xB8658000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA4719000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA42F5000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xA41DC000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xA3F62000 \SystemRoot\System32\Drivers\BrUsbScn.sys
0xA8E14000 \SystemRoot\System32\Drivers\Brfilt.sys
0xA408C000 \SystemRoot\system32\DRIVERS\mf.sys
0xA3F5A000 \SystemRoot\System32\Drivers\BrUsbMdm.sys
0xA38BC000 \SystemRoot\System32\Drivers\BrSerWdm.sys
0xA3DA4000 \SystemRoot\System32\Drivers\Modem.SYS
0xA38A5000 \SystemRoot\System32\Drivers\dump_nvata.sys
0xB865C000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xA3AD0000 \SystemRoot\System32\drivers\Dxapi.sys
0xA3D94000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xA86ED000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\nv4_disp.dll
0xA2F86000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA926F000 \SystemRoot\system32\DRIVERS\tifsfilt.sys
0xA5A9E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB8298000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xA2EF9000 \SystemRoot\system32\drivers\wdmaud.sys
0xA401C000 \SystemRoot\system32\drivers\sysaudio.sys
0xA2ECD000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAD7E3000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xA2BBA000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xB8390000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xA2A23000 \SystemRoot\system32\DRIVERS\srv.sys
0xA16EC000 \SystemRoot\System32\Drivers\HTTP.sys
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA0D64000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 44):
0 System Idle Process
4 System
720 C:\WINDOWS\system32\smss.exe
768 csrss.exe
792 C:\WINDOWS\system32\winlogon.exe
836 C:\WINDOWS\system32\services.exe
848 C:\WINDOWS\system32\lsass.exe
1040 C:\WINDOWS\system32\nvsvc32.exe
1072 C:\WINDOWS\system32\svchost.exe
1120 svchost.exe
1216 C:\WINDOWS\system32\svchost.exe
1372 svchost.exe
1472 svchost.exe
1712 C:\WINDOWS\system32\spoolsv.exe
1756 C:\Programme\Avira\AntiVir Desktop\sched.exe
1872 svchost.exe
2024 C:\WINDOWS\explorer.exe
436 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
444 C:\WINDOWS\system32\rundll32.exe
452 C:\Programme\Scansoft\PaperPort\pptd40nt.exe
508 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
516 C:\Programme\Rainlendar2\Rainlendar2.exe
524 C:\WINDOWS\system32\ctfmon.exe
568 C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
636 C:\Programme\Scansoft\PaperPort\SmartUI\SmartUI.exe
656 C:\Programme\FRITZ!DSL\StCenter.exe
744 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
760 C:\Programme\Avira\AntiVir Desktop\avguard.exe
252 C:\Programme\FRITZ!DSL\IGDCTRL.EXE
852 C:\WINDOWS\system32\Brmfrmps.exe
1452 C:\Programme\Java\jre6\bin\jqs.exe
1512 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
1908 C:\WINDOWS\system32\svchost.exe
2124 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2220 C:\WINDOWS\system32\BrmfRsmg.exe
2280 C:\Programme\Mozilla Firefox\firefox.exe
2292 C:\Programme\Outlook Express\msimn.exe
2472 C:\PROGRA~1\MESSEN~1\Msmsgs.exe
3188 alg.exe
3672 C:\WINDOWS\system32\svchost.exe
1612 C:\Programme\Mozilla Firefox\plugin-container.exe
3904 C:\Programme\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe
3932 C:\WINDOWS\system32\wisptis.exe
3216 C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\I: --> \\.\PhysicalDrive0 at offset 0x0000002b`316fb200 (NTFS)
\\.\J: --> \\.\PhysicalDrive0 at offset 0x00000043`9bd2cc00 (NTFS)
\\.\K: --> \\.\PhysicalDrive0 at offset 0x0000005c`0635e600 (NTFS)

PhysicalDrive0 Model Number: HitachiHDT725050VLA380, Rev: V56OA7EA

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

cosinus 17.08.2010 14:17
Zitat:
465 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
Hmkay, der sagt, Dein MBR wäre ok.
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Costa2000 17.08.2010 20:45
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4434

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

17.08.2010 21:39:16
mbam-log-2010-08-17 (21-39-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 227858
Laufzeit: 44 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 17.08.2010 21:15
Zitat:
Datenbank Version: 4434
Äh, du solltest es vorher aktualisieren! Bitte nachholen und noch ein Vollscan machen.

Costa2000 17.08.2010 21:50
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/17/2010 at 10:51 PM

Application Version : 4.41.1000

Core Rules Database Version : 5369
Trace Rules Database Version: 3181

Scan type : Complete Scan
Total Scan Time : 00:49:36

Memory items scanned : 547
Memory threats detected : 0
Registry items scanned : 7346
Registry threats detected : 0
File items scanned : 94640
File threats detected : 1

Adware.Tracking Cookie
www.mofosex.com [ C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\73MG8YT2 ]

Costa2000 17.08.2010 21:52
Stimmt, Anti-Malware habe ich vergessen zu aktualisieren.

Mach ich sofort.

cosinus 17.08.2010 21:55
Zitat:
Stimmt, Anti-Malware habe ich vergessen zu aktualisieren.
Kein Problem ;)
Muss nicht sofort sein, geht auch morgen :)

Costa2000 17.08.2010 22:38
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4440

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

17.08.2010 23:40:54
mbam-log-2010-08-17 (23-40-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 228814
Laufzeit: 39 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0001721.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0001907.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0002237.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

cosinus 18.08.2010 08:07
Zitat:
Infizierte Dateien:
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0001721.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0001907.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4C21B6CE-A3F2-4D22-ABE9-69BDD88928ED}\RP2\A0002237.sys (Trojan.Agent.Gen) -> Quarantined and deleted successfully
Hm, MBAM findet da wieder was, Du hast doch vorher die Systemwiederherstellung deaktiviert oder?

Costa2000 18.08.2010 09:32
Nein, die Systemwiederherstellung habe ich nicht deaktiviert.
Sollte ich sie deaktivieren?

Wenn ich das Häckchen setze, bekomme ich die Meldung das alle Wiederherstellungspunkte gelöscht werden.
Ist das in Ordnung?

cosinus 18.08.2010 10:32
Ja das ist ok. Die alten Wiederherstellungspunkte könnte alle infiziert sein. Daher vorsichtshalber weg damit bevor Du Dir die Infektion wieder holst, wenn Du einen Punkt wiederherstellst.

Costa2000 18.08.2010 19:18
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4446

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

18.08.2010 20:20:54
mbam-log-2010-08-18 (20-20-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 226874
Laufzeit: 36 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
I:\Software\AntiVir\antivir_workstation_win7u_de_h.exe (Spyware.Onlinegames) -> Quarantined and deleted successfully.
I:\Software\AntiVir\antivir_workstation_winu_de_h337.exe (Spyware.Onlinegames) -> Quarantined and deleted successfully.
I:\Software\Notebookdateien\Notebook\antivir_workstation_winu_de_h337.exe (Spyware.Onlinegames) -> Quarantined and deleted successfully.

Costa2000 18.08.2010 19:25
Hallo Arne,

habe die Systemwiederherstellung deaktiviert, Anti-Malware aktualisiert und durchlaufen lassen. Wie siehst aus?

Mal etwas anderes. Meine Bank hat meinen Onlinebankingzugang gesperrt, weil die Software erkannt hat, dass ein Trojaner, welcher sich auf meinem Rechner befand die Bankdaten abfragen wollte oder abgefragt hat.

Nun meine Frage, sollte ich zur Sicherheit alle anderen Zugänge wie z.B. Ebay, Amazon usw. ändern?

Danke.

Gruß
Costa

Costa2000 18.08.2010 20:21
Hier habe ich noch einen aktuellen Scan von SuperAntiSpyware:




SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/18/2010 at 09:22 PM

Application Version : 4.41.1000

Core Rules Database Version : 5375
Trace Rules Database Version: 3187

Scan type : Complete Scan
Total Scan Time : 00:48:44

Memory items scanned : 482
Memory threats detected : 0
Registry items scanned : 7349
Registry threats detected : 0
File items scanned : 93056
File threats detected : 2

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Benutzername\Cookies\benutzername@smartadserver[1].txt
www.secmedia.de [ C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\73MG8YT2 ]

cosinus 18.08.2010 22:09
Zitat:
Mal etwas anderes. Meine Bank hat meinen Onlinebankingzugang gesperrt
Hat die Bank mitgeteilt wann das war?

Costa2000 18.08.2010 22:27
Ja, seit gestern ist mein Account gesperrt.

Ich wollte mich vor etwa drei Stunden einloggen, was nicht funktionierte und habe daraufhin den Service angerufen welcher bis 22 Uhr zu erreichen war.

cosinus 19.08.2010 10:08
Du solltest ihn wieder entsperren können, Dein Rechner ist bereinigt.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Costa2000 19.08.2010 22:40
Hallo Arne,

Mein Rechner läuft wieder ohne Probleme, keine weiteren Funde. :)

Ich danke Dir für Deine großartige Hilfe und wünsche Dir alles Gute!

Vielen Dank! :daumenhoc

Gruß
Costa

cosinus 20.08.2010 07:40
Gut, dann bitte die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55