Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm (https://www.trojaner-board.de/92197-firefox-loggt-alle-zugriffsdaten-verzeichnis-windows-system32-xmldm.html)

l-vis101 25.10.2010 18:38
Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm
 
Hallo Freunde,

verwende Firefox in der aktuellsten Version (3.6.11) auf Windows XP prof.

Ein Scan mit Malwarebytes' Anti-Malware hat mich auf das Verzeichnis C:\Windows\system32\xmldm aufmerksam gemacht. (Stolen Data).

Mit diesem Verzeichnis kann ich folgendes Verhalten beobachten:
Sobald ich mit Firefox eine Seite öffne, die Login-Daten erfordert, werden dort Dateien angelegt nach folgendem Muster:
3204_FF_0000000989_ifrm.htm
3204_FF_0000000990_ifrm.htm
3204_FF_0000000991.pst
3204_FF_0000000992_ifrm.htm

Die ersten beiden Dateien wurden beispielsweise erstellt in dem Moment, als ich auf die T-Online-Seite kam. Wenn ich dann meine Zugangsdaten eingebe werden die beiden nächsten Dateien erstellt. Die *.htm Dateien scheinen die Abbilder der besuchten Seiten zu sein. Sie enthalten soweit ich das beurteilen kann die URL der Originalseite mit zig Parametern. Die.pst Datei enthält ebenfalls eine URL und mittendrin meine gesendeten Zugangsdaten in Klarschrift. Die letzte Datei gibt dann wohl das Ergebnis wieder, ob der Zugang erfolgreich war oder nicht.

Ich weiß nicht, ob das bei jeder Seite passiert, die ein Formular enthält oder nur bei https . Ich vermute letzteres.

Dieses Verhalten gibt es nur bei Firefox. Dieselbe Seite in IE6 geöffnet passiert nix (hopefully ... zumindest nicht an dieser Stelle). Wenn man das Verzeichnis löscht, wird es neu angelegt und befüllt, sobald man mit FF auf eine entsprechende Seite kommt.

Ich verwende Avira Antivir Personal. Ein Komplettscan des System zeigt keinerlei Infektion oder sonstige Hinweise. Ein Komplettscan mit MalwareBytes zeigt mir das Verzeichnis xmldm mit dem Hinweis "Stolen.Data" an, gibt aber ansonsten für alle Infektionsarten 0 aus.

Hat jemand eine Idee, was das sein könnte und wie man´s wieder los wird.

Vielen Dank für eure Mühe.

cosinus 25.10.2010 19:56
Zitat:
Ein Komplettscan mit Malwarebytes zeigt mir das Verzeichnis xmldm mit dem Hinweis "Stolen.Data" an, gibt aber ansonsten für alle Infektionsarten 0 aus.
Das Log bitte immer posten!

l-vis101 26.10.2010 16:59
Sorry, nix gedacht.
Vor allem hatte ich nicht dran gedacht bei meinem "Komplettscan" die externen Festplatten mit zu brücksichtigen. Also nochmal von vorne:

1. Komplettscan mit MalwareByte findet Infektionen: mbam-log-2010-10-26 (08-57-30) ... das sind die externen Platten, die ich vergessen hatte.

2. Infektionen beseitigt / Reboot / erneuter Komplettscan, diesmal ohne Befund: mbam-log-2010-10-26 (12-31-39)

3. Firefox starten: In diesem Moment wird das Verzeichnis windows/system32/xmldm angelegt.

4. irgendeine Seite mit https aufrufen (in diesem Fall t-online.de) und die ersten Dateien tauchen im Verzeichnis xmldm auf.

5. Einloggen als MEINNAME mit MEINPASSWORT und dann in der frischerstellten *.pst-Datei genauso nachzulesen.

6. diesmal nur Quickscan: mbam-log-2010-10-26 (17-14-43)

7. goto 2.

------
Danke
Jürgen

... ups! Schon wieder nix gedacht: Load und die anderen Protokolle folgen nach

l-vis101 26.10.2010 19:02
So, nochmals sorry, ich hoffe ich hab nun alles richtig gemacht.

Alle Logs im Anhang,
defogger_disable lässt sich nicht anfügen. Inhalt wie folgt:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:40 on 26/10/2010 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

cosinus 27.10.2010 16:08
Zitat:
[2010.10.25 16:44:47 | 000,000,000 | ---D | C] -- C:\Qoobox
1. sollte Combofix nur auf Anweisung hin ausgeführt werden
2. darfst Du auch das Log nicht einfach weglassen

l-vis101 27.10.2010 22:45
Hallo Arne,
ich mach schon mehrere Tage rum und hab in der Zeit so ziemlich alles ausprobiert, was irgendwo mal empfohlen wurde. Wahrscheinlich hab ich´s dadurch nur schlimmer gemacht. Combofix ist irgendwann früher mal gelaufen. Das Log, das du ansprichst ist wahrscheinlich das im Anhang. Als ich dann dieses Forum gefunden habe, ist mir klar geworden, dass ich´s alleine nicht schaffen kann und vor allem einen roten Faden reinbringen muss. Aus meinen Mails kannst du sicher rauslesen, dass ich etwas durch den Wind war/bin.
Siehst du eine Chance, dass noch was zu retten ist? Danke für deine Hilfe.
Jürgen

cosinus 28.10.2010 12:22
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
@Alternate Data Stream - 951 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:ivIv6dDUpE1Aygfy55WGg33WYS
@Alternate Data Stream - 789 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:dK5PP84onzag4IvvD2xGTCUq
@Alternate Data Stream - 780 bytes -> C:\Programme\WindowsUpdate:QaXdOyoyO0W4f6eYMLxYXDpqb
@Alternate Data Stream - 100 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CC9DD8FE
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

l-vis101 28.10.2010 15:11
Ok, ist gelaufen.
Log im Anhang
Reboot war nötig
im Verzeichnis MovedFiles steht am Ende ../System32/drivers/etc/hosts

l-vis101 28.10.2010 15:20
LOG will sich nicht anhängen lassen ("ungültige Datei" ?)

10282010_145731.log

All processes killed
========== OTL ==========
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:ivIv6dDUpE1Aygfy55WGg33WYS deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:dK5PP84onzag4IvvD2xGTCUq deleted successfully.
ADS C:\Programme\WindowsUpdate:QaXdOyoyO0W4f6eYMLxYXDpqb deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CC9DD8FE deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: l-vis
->Temp folder emptied: 108472752 bytes
->Temporary Internet Files folder emptied: 23155761 bytes
->Java cache emptied: 221949 bytes
->FireFox cache emptied: 20212898 bytes
->Flash cache emptied: 554 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: SysBuilder
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5010 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 145,00 mb


OTL by OldTimer - Version 3.2.17.1 log created on 10282010_145731

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 28.10.2010 18:54
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

l-vis101 28.10.2010 22:56
Liste der Anhänge anzeigen (Anzahl: 1)
ok, ComboFix ist gelaufen.
ich habe deine Anweisungen so verstanden, dass zuerst CCleaner durchgeführt werden muss. Die Anleitung dazu ist nicht mehr 100% uptodate. Statt der yahoo-Toolbar gab`s eine Seite weiter eine Google-Toolbar (aufpassen, dass die nicht aus versehen mit installiert wird !)
Der Avira-Schlüssel blieb zum Schluss noch wie beschrieben übrig.

Combofix hat dann auch prompt avira angemeckert und das gleich 4x, ich kann Avira aber nur deaktivieren, nicht ganz ausschalten.

Reboot gab´s auch keinen nach Combofix. Statt C:\Combofix habe ich ein Verzeichnis C:\cmdcons erhalten und das Log befand sich an anderer Stelle. Anyway, here it is:

Combofix Logfile:
Code:
ComboFix 10-10-27.A3 - l-vis 28.10.2010  23:17:44.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.511 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\l-vis\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-010D-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\xmldm

.
(((((((((((((((((((((((  Dateien erstellt von 2010-09-28 bis 2010-10-28  ))))))))))))))))))))))))))))))
.

2010-10-28 12:57 . 2010-10-28 12:57        --------        d-----w-        C:\_OTL
2010-10-26 16:26 . 2010-10-26 16:27        --------        d-----w-        c:\programme\ERUNT
2010-10-07 18:04 . 2010-10-23 09:34        --------        d-----w-        c:\dokumente und einstellungen\l-vis\TV-Browser
2010-10-07 18:04 . 2010-10-07 18:04        --------        d-----w-        c:\programme\TV-Browser
2010-10-05 19:59 . 2010-10-05 19:59        --------        d-----w-        c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Malwarebytes
2010-10-05 19:59 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-05 19:59 . 2010-10-05 19:59        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-10-05 19:59 . 2010-10-05 19:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-05 19:59 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-10-05 19:23 . 2010-10-28 20:51        --------        d-----w-        c:\programme\CCleaner
2010-10-04 09:22 . 2010-10-04 09:22        --------        d-----w-        c:\dokumente und einstellungen\l-vis\.thumbnails

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 15:38 . 2007-06-30 10:09        164880        ---ha-w-        c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll
2010-09-28 08:11 . 2006-07-15 18:39        60416        ----a-w-        c:\windows\ALCFDRTM.VER
2006-05-03 09:06        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 10:47        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 12:30        216064        --sh--r-        c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((  SnapShot@2010-10-25_15.01.50  )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-26 16:28 . 2010-10-26 16:28        61440              c:\windows\ERDNT\26.10.2010\Users\00000004\UsrClass.dat
+ 2010-10-26 16:28 . 2010-10-26 16:28        8192              c:\windows\ERDNT\26.10.2010\Users\00000006\UsrClass.dat
+ 2010-10-26 16:28 . 2010-10-26 16:28        8192              c:\windows\ERDNT\26.10.2010\Users\00000002\UsrClass.dat
+ 2010-10-26 16:28 . 2010-10-26 16:28        237568              c:\windows\ERDNT\26.10.2010\Users\00000005\NTUSER.DAT
+ 2010-10-26 16:28 . 2010-10-26 16:28        237568              c:\windows\ERDNT\26.10.2010\Users\00000001\NTUSER.DAT
+ 2010-10-26 16:28 . 2005-10-20 10:02        163328              c:\windows\ERDNT\26.10.2010\ERDNT.EXE
+ 2005-09-29 15:07 . 2010-10-25 23:13        2396176              c:\windows\system32\FNTCACHE.DAT
+ 2010-10-26 16:28 . 2010-10-26 16:28        16678912              c:\windows\ERDNT\26.10.2010\Users\00000003\NTUSER.DAT
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-12-30 1365504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-7-19 113664]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-10-3 813584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2007-08-30 05:32        61440        ----a-r-        c:\programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-12-07 21:57        30208        ------w-        c:\programme\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SansaDispatch]
2007-10-22 11:52        75584        ----a-w-        c:\programme\Sandisk\Sansa Updater\SansaDispatch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe_ID0EYTHM"=c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"WinSys2"=c:\windows\system32\winsys2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.08.2009 21:36 108289]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [03.10.2009 23:32 10384]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S4 Mouautidcim;Mouautidcim; [x]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Download by GAS - c:\progra~1\GETASF~1\ie_MenuExt.htm
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=
FF - component: c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\component.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - component: c:\windows\system32\5003\components\AcroFF003.dll
FF - plugin: c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-28 23:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{0B4301F9-2D2F-1215-19C1-D069FCD8917B}*]
"oaefccecinhbnhcjmjacepnpeodcgo"=hex:64,61,65,64,62,6d,6d,66,00,d0
"oaagimkjimhmbjpfkelieoncppnfcj"=hex:6a,61,65,64,70,6c,66,67,62,67,64,66,6c,6d,
  6c,70,62,67,66,6a,00,fd
"naodmckcjmlbfgdjjonhmnnflgdm"=hex:6a,61,65,64,70,6c,66,67,62,67,64,66,6c,6d,
  6c,70,62,67,66,6a,00,fd

[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{46CA0A83-C9D3-257D-1BAF-C9F96110EA81}*]
"oadcojgpmpjljmnegbihbdjbkaogob"=hex:6b,61,63,70,67,62,63,6b,63,6c,6d,69,6b,66,
  62,6c,6e,6d,6f,6f,65,6f,00,00
"nanaeihhoeemfkelkcddmfkaboeh"=hex:6a,61,70,6f,65,62,6f,6f,61,6e,6d,67,6f,61,
  68,61,63,66,6d,6e,00,fd
"oapaokkfmabgimhilckoabmhacpfnp"=hex:64,61,70,6f,65,62,66,62,00,60
"ealaokgpkn"=hex:61,61,00,00
"caabel"=hex:6c,62,64,70,67,6d,6f,6f,6b,70,6f,65,6b,6a,6f,64,70,6a,62,61,62,62,
  70,6e,66,69,62,6b,6c,6e,6a,6c,70,65,69,6c,69,69,67,63,66,67,6b,70,66,6c,6d,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(908)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(1716)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\SSSensor.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2010-10-28  23:25:28
ComboFix-quarantined-files.txt  2010-10-28 21:25

Vor Suchlauf: 1.389.957.120 Bytes frei
Nach Suchlauf: 1.375.481.856 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 8EDE3C13F2A8DD556B65C607ADAAD283
--- --- ---

cosinus 29.10.2010 12:27
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Seccenter::
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-010D-0D24-347CA8A3377C}

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Regnull::
[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{0B4301F9-2D2F-1215-19C1-D069FCD8917B}*]
[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{46CA0A83-C9D3-257D-1BAF-C9F96110EA81}*]

Driver::
Mouautidcim
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

l-vis101 29.10.2010 13:07
Aktuelles Combofix-log
... hat das Ding, das wir hier bekämpfen einen Namen?

cosinus 30.10.2010 18:10
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

l-vis101 31.10.2010 14:31
Die gewünschten Logs im Anhang

... ein kleines Dankeschön für deine Mühe zwischendurch !

Jürgen

cosinus 31.10.2010 15:20
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

l-vis101 01.11.2010 13:58
sah wirklich ok aus
-> (mbam-log-2010-10-31 (21-01-18).txt
-> SUPERAntiSpyware Scan Log - 11-01-2010 - 13-13-59.log

aber dann habe ich Firefox gestartet (zum ersten mal seit wir begonnen haben das Ding zu bekämpfen) und der zeigt sich völlig unbeeindruckt und verhält sich exakt wie bereits früher beschrieben! Ein Quickscan mit MBAM zeigt dann auch die entsprechenden Dateien im Verzeichnis xmldm an -> mbam-log-2010-11-01 (13-29-29).txt

Was ich nicht verstehe ist, warum die Dateien auf meiner Festplatte abgelegt werden anstatt sie direkt in den Ural zu posten. Dann würde ich nämlich gar nichts davon mitbekommen. Und das ist gleichzeitig die Sorge, die ich habe. ... dass es mit IE genauso läuft.

Wenn die Scanner nix finden, liegt für mich die Vermutung nahe, dass es mit einem meiner "regulären" FF-PlugIns zu tun haben könnte. Ich würde als nächstes eines nach dem anderen abbauen und zum Schluss Firefox komplett de- und dann neuinstallieren. Was meinst du? Muss ich irgendwas beachten, dass bei der Deinstallation kein Datenmüll hängen bleibt?

cosinus 01.11.2010 18:13
Der muss sich neu erstellt haben. :balla:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

l-vis101 01.11.2010 19:01
OTL Logfile:
Code:
OTL logfile created on: 01.11.2010 18:47:59 - Run 4
OTL by OldTimer - Version 3.2.17.2    Folder = C:\Dokumente und Einstellungen\l-vis\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 556,00 Mb Available Physical Memory | 54,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 76,99 Gb Total Space | 0,96 Gb Free Space | 1,24% Space Free | Partition Type: NTFS
Drive D: | 72,06 Gb Total Space | 1,61 Gb Free Space | 2,24% Space Free | Partition Type: NTFS
Drive E: | 3,85 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive N: | 465,76 Gb Total Space | 132,76 Gb Free Space | 28,51% Space Free | Partition Type: NTFS
Drive P: | 931,51 Gb Total Space | 0,11 Gb Free Space | 0,01% Space Free | Partition Type: NTFS
 
Computer Name: CASABLANCA | User Name: l-vis | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2010.11.01 18:25:09 | 000,576,000 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\l-vis\Desktop\OTL.exe
PRC - [2010.10.25 19:46:59 | 002,424,560 | ---- | M] (SUPERAntiSpyware.com) -- C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.07.20 11:30:50 | 000,813,584 | ---- | M] (Logitech, Inc.) -- C:\Programme\Logitech\SetPoint\SetPoint.exe
PRC - [2009.07.10 11:42:32 | 000,055,824 | ---- | M] (Logitech, Inc.) -- C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
PRC - [2009.06.17 12:44:11 | 000,085,160 | ---- | M] (Elaborate Bytes AG) -- C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 12:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.08.27 22:36:29 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
PRC - [2007.12.30 11:23:34 | 001,365,504 | ---- | M] () -- C:\Programme\Rainlendar2\Rainlendar2.exe
PRC - [2006.10.22 22:24:02 | 000,620,152 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
PRC - [2006.06.21 04:42:44 | 000,577,536 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\soundman.exe
PRC - [2005.09.30 18:22:50 | 000,096,341 | ---- | M] (Canon Inc.) -- C:\Programme\Canon\CAL\CALMAIN.exe
PRC - [2005.04.07 19:46:59 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.02.24 15:35:06 | 002,372,760 | ---- | M] (Sygate Technologies, Inc.) -- C:\Programme\Sygate\SPF\Smc.exe
PRC - [2003.12.17 08:50:00 | 000,019,968 | ---- | M] (Logitech Inc.) -- C:\WINDOWS\LOGI_MWX.EXE
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.11.01 18:25:09 | 000,576,000 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\l-vis\Desktop\OTL.exe
MOD - [2009.07.20 11:29:06 | 000,045,584 | ---- | M] (Logitech, Inc.) -- C:\Programme\Logitech\SetPoint\lgscroll.dll
MOD - [2006.12.01 21:54:32 | 000,626,688 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll
MOD - [2005.04.07 10:48:36 | 001,053,696 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2649_x-ww_aac16c8b\comctl32.dll
MOD - [2004.02.02 11:06:16 | 000,083,096 | ---- | M] (Sygate Technologies, Inc.) -- C:\WINDOWS\system32\SSSensor.dll
MOD - [1999.12.06 23:30:00 | 000,106,547 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\SEPRO3\MSSCRIPT.OCX
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.07.20 11:28:10 | 000,121,360 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.08.27 22:36:29 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2007.03.20 15:41:24 | 000,153,792 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe -- (Adobe Version Cue CS3)
SRV - [2006.07.19 17:52:43 | 000,069,632 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2005.09.30 18:22:50 | 000,096,341 | ---- | M] (Canon Inc.) [Auto | Running] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8)
SRV - [2005.04.03 23:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2004.02.24 15:35:06 | 002,372,760 | ---- | M] (Sygate Technologies, Inc.) [Auto | Running] -- C:\Programme\Sygate\SPF\Smc.exe -- (SmcService)
SRV - [2003.07.28 11:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\point32.sys -- (Point32)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\install4\MSICPL.sys -- (MSICPL)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Cofi\catchme.sys -- (catchme)
DRV - [2010.05.10 19:41:30 | 000,067,656 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL)
DRV - [2010.02.17 19:25:48 | 000,012,872 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV)
DRV - [2009.12.17 23:25:12 | 000,026,024 | ---- | M] (Elaborate Bytes AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys -- (ElbyCDIO)
DRV - [2009.12.07 20:46:22 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.09.19 17:33:43 | 000,013,567 | ---- | M] (B.H.A Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\CDRBSDRV.SYS -- (cdrbsdrv)
DRV - [2009.08.09 22:25:56 | 000,029,696 | ---- | M] (Elaborate Bytes AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VClone.sys -- (VClone)
DRV - [2009.06.17 17:56:24 | 000,079,248 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouKE.Sys -- (LMouKE)
DRV - [2009.06.17 17:56:16 | 000,037,392 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2009.06.17 17:56:06 | 000,035,472 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2009.06.17 17:55:34 | 000,010,384 | ---- | M] (Logitech, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\LBeepKE.sys -- (LBeepKE)
DRV - [2009.06.17 17:55:26 | 000,063,248 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\L8042mou.Sys -- (L8042mou)
DRV - [2009.06.17 17:55:18 | 000,020,240 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\L8042Kbd.sys -- (L8042Kbd)
DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.05.06 07:01:50 | 000,016,512 | ---- | M] (Adaptec) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ASPI32.SYS -- (Aspi32)
DRV - [2008.05.03 04:16:00 | 006,554,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2008.02.12 02:42:38 | 000,232,472 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VMM.sys -- (vmm)
DRV - [2008.02.05 00:50:44 | 000,059,960 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VMNetSrv.sys -- (VPCNetS2)
DRV - [2006.06.27 16:42:14 | 003,972,672 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\alcxwdm.sys -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2006.02.17 10:28:32 | 000,013,056 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.02.17 10:28:30 | 000,034,176 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2005.09.27 08:00:02 | 000,069,920 | ---- | M] (PACE Anti-Piracy, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\TPkd.sys -- (TPkd)
DRV - [2005.09.20 17:27:20 | 000,010,368 | ---- | M] (InterVideo, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\iviaspi.sys -- (Iviaspi)
DRV - [2005.03.09 15:53:00 | 000,043,008 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2004.08.03 23:08:22 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2004.08.03 22:07:44 | 000,043,008 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\amdagp.sys -- (amdagp)
DRV - [2004.08.03 22:07:44 | 000,041,088 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sisagp.sys -- (sisagp)
DRV - [2004.02.02 09:53:28 | 000,018,518 | ---- | M] (Sygate Technologies, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt)
DRV - [2004.02.02 09:51:04 | 000,055,891 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\SYSTEM32\Drivers\Teefer.sys -- (Teefer)
DRV - [2004.02.02 09:37:32 | 000,011,914 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys -- (wg3n)
DRV - [2003.12.17 08:50:00 | 000,070,801 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LMouFlt2.Sys -- (LMouFlt2)
DRV - [2003.12.17 08:50:00 | 000,051,729 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\L8042pr2.Sys -- (L8042pr2)
DRV - [2003.09.19 14:45:48 | 000,021,248 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc)
DRV - [2003.07.30 23:15:54 | 000,077,465 | ---- | M] (3Com Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\el90Xbc5.SYS -- (EL90Xbc)
DRV - [2001.08.18 03:22:54 | 000,006,656 | ---- | M] (CMD Technology, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\cmdide.sys -- (CmdIde)
DRV - [2001.08.17 13:07:44 | 000,019,072 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sparrow.sys -- (Sparrow)
DRV - [2001.08.17 13:07:42 | 000,030,688 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys -- (sym_u3)
DRV - [2001.08.17 13:07:40 | 000,028,384 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys -- (sym_hi)
DRV - [2001.08.17 13:07:36 | 000,032,640 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys -- (symc8xx)
DRV - [2001.08.17 13:07:34 | 000,016,256 | ---- | M] (Symbios Logic Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\symc810.sys -- (symc810)
DRV - [2001.08.17 12:52:22 | 000,036,736 | ---- | M] (Promise Technology, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ultra.sys -- (ultra)
DRV - [2001.08.17 12:52:20 | 000,045,312 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ql12160.sys -- (ql12160)
DRV - [2001.08.17 12:52:20 | 000,040,320 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ql1080.sys -- (ql1080)
DRV - [2001.08.17 12:52:18 | 000,049,024 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ql1280.sys -- (ql1280)
DRV - [2001.08.17 12:52:16 | 000,179,584 | ---- | M] (Mylex Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys -- (dac2w2k)
DRV - [2001.08.17 12:52:12 | 000,017,280 | ---- | M] (American Megatrends Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys -- (mraid35x)
DRV - [2001.08.17 12:52:00 | 000,026,496 | ---- | M] (Advanced System Products, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\asc.sys -- (asc)
DRV - [2001.08.17 12:51:58 | 000,014,848 | ---- | M] (Advanced System Products, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\asc3550.sys -- (asc3550)
DRV - [2001.08.17 12:51:56 | 000,005,248 | ---- | M] (Acer Laboratories Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\aliide.sys -- (AliIde)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.5.4
FF - prefs.js..extensions.enabledItems: fdm_ffext@freedownloadmanager.org:1.3.4
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004
FF - prefs.js..extensions.enabledItems: {c45c406e-ab73-11d8-be73-000a95be3b12}:1.1.8
FF - prefs.js..extensions.enabledItems: {ED0CF0C8-62F1-4865-A3FD-2E2A2B50FAFA}:1.0
FF - prefs.js..extensions.enabledItems: {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}:0.16
FF - prefs.js..extensions.enabledItems: {317B5128-0B0B-49b2-B2DB-1E7560E16C74}:2.6.6
FF - prefs.js..extensions.enabledItems: {bee6eb20-01e0-ebd1-da83-080329fb9a3a}:0.1
FF - prefs.js..extensions.enabledItems: max@subfighter.com:1.0.3
FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?sourceid=navclient&hl=de&q="
FF - prefs.js..network.proxy.no_proxies_on: "*.local"
 
FF - HKLM\software\mozilla\Firefox\extensions\\{ED0CF0C8-62F1-4865-A3FD-2E2A2B50FAFA}: C:\WINDOWS\system32\5003 [2010.06.13 16:00:12 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.11\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.10.22 18:56:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.11\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.10.22 18:56:15 | 000,000,000 | ---D | M]
 
[2010.10.02 20:02:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla\Extensions
[2010.10.28 09:18:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions
[2010.09.12 01:37:36 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.09.18 12:36:39 | 000,000,000 | ---D | M] (SeoQuake) -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\{317B5128-0B0B-49b2-B2DB-1E7560E16C74}
[2010.07.28 14:44:07 | 000,000,000 | ---D | M] (Live HTTP Headers) -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}
[2010.08.19 11:02:19 | 000,000,000 | ---D | M] (Flash and Video Download) -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\{bee6eb20-01e0-ebd1-da83-080329fb9a3a}
[2010.03.22 14:29:56 | 000,000,000 | ---D | M] (Web Developer) -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
[2010.05.10 22:02:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\firebug@software.joehewitt.com
[2010.08.19 11:02:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\max@subfighter.com
[2009.04.08 23:33:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\moveplayer@movenetworks.com
[2009.05.03 11:31:33 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.09.19 02:04:02 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.19 02:04:02 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.19 02:04:02 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.19 02:04:02 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.19 02:04:02 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.10.29 12:49:27 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll (Orbitdownloader.com)
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (ContributeBHO Class) - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll ()
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Contribute Toolbar) - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll ()
O3 - HKLM\..\Toolbar: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll ()
O3 - HKCU\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll ()
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [Logitech Utility] C:\WINDOWS\LOGI_MWX.EXE (Logitech Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SmcService] C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [VirtualCloneDrive] C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe (Elaborate Bytes AG)
O4 - HKCU..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe ()
O4 - HKCU..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: &Download by Orbit - C:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: &Grab video by Orbit - C:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: An vorhandenes PDF anfügen - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Do&wnload selected by Orbit - C:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: Down&load all by Orbit - C:\Programme\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: Download by GAS - C:\Programme\GetASFStream\ie_MenuExt.htm ()
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll (Sun Microsystems, Inc.)
O9 - Extra Button: PDFill PDF Editor - {FB858B22-55E2-413f-87F5-30ADC5552151} - C:\Programme\PlotSoft\PDFill\DownloadPDF.exe (PlotSoft LLC)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab (DLC Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.09.29 15:16:29 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007.06.13 10:12:34 | 000,000,043 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - Services: "RichVideo"
MsConfig - Services: "Adobe LM Service"
MsConfig - StartUpReg: Adobe Photo Downloader - hkey= - key= - C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: RemoteControl - hkey= - key= - C:\Programme\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
MsConfig - StartUpReg: SansaDispatch - hkey= - key= - C:\Programme\Sandisk\Sansa Updater\SansaDispatch.exe (SanDisk Corporation)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 2
MsConfig - State: "startup" - 2
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vga.sys - Driver
SafeBootMin: WdfLoadGroup -
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: WdfLoadGroup -
SafeBootNet: {1a3e09be-1e45-494b-9174-d7385b45bbf5} - Reg Error: Value error.
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {03382D23-6C89-4930-5803-B4FBD128419B} - NetShow
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {1325db73-d9f1-48f8-8895-6d814ec58889} - Sicherheitsupdate für Windows XP (KB913433)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {21BFCE64-E2E9-E918-1C2A-6D1162853349} - Internet Explorer
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5B7DF96D-24FC-D167-75E9-EC894EA74F59} - DirectAnimation
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.ac3filter - C:\WINDOWS\System32\ac3filter.acm ()
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\System32\l3codecp.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivXNetworks)
Drivers32: VIDC.FFDS - C:\WINDOWS\System32\ff_vfw.dll ()
Drivers32: vidc.I263 - C:\WINDOWS\System32\i263_32.drv (Intel Corporation)
Drivers32: vidc.I420 - C:\WINDOWS\System32\i420vfw.dll (www.helixcommunity.org)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: VIDC.WMV3 - C:\WINDOWS\System32\wmv9vcm.dll (Microsoft Corporation)
Drivers32: vidc.X264 - C:\WINDOWS\System32\x264vfw.dll ()
Drivers32: vidc.XVID - C:\WINDOWS\System32\xvidvfw.dll ()
Drivers32: vidc.yv12 - C:\WINDOWS\System32\yv12vfw.dll (www.helixcommunity.org)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902053519425536)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.11.01 18:25:06 | 000,576,000 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\l-vis\Desktop\OTL.exe
[2010.10.31 22:01:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\SUPERAntiSpyware.com
[2010.10.31 22:01:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2010.10.31 21:57:33 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2010.10.31 13:55:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\Desktop\osam_autorun_manager_5_0_portable
[2010.10.29 17:32:08 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.10.29 12:54:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010.10.28 22:14:47 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2010.10.28 21:59:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\l-vis\Recent
[2010.10.28 13:57:31 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.10.28 13:42:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\Eigene Dateien\e-mails
[2010.10.28 11:15:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\Eigene Dateien\start
[2010.10.27 17:01:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\Desktop\Gründungszuschuss
[2010.10.26 17:26:53 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2010.10.26 17:21:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Desktop\MFtools
[2010.10.25 15:47:54 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.10.25 15:47:54 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.10.25 15:47:54 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.10.25 15:47:54 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.10.25 15:47:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.10.25 15:44:47 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.10.24 11:31:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\Eigene Dateien\oeb-backups
[2010.10.11 11:55:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\Eigene Dateien\Downloads
[2010.10.07 19:04:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\TV-Browser
[2010.10.07 19:04:34 | 000,000,000 | ---D | C] -- C:\Programme\TV-Browser
[2010.10.07 10:45:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\Eigene Dateien\Updater5
[2010.10.05 20:59:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Malwarebytes
[2010.10.05 20:59:24 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.05 20:59:22 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.05 20:59:22 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.05 20:59:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.05 20:23:34 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.10.04 10:22:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\l-vis\.thumbnails
 
========== Files - Modified Within 30 Days ==========
 
[2010.11.01 18:25:09 | 000,576,000 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\l-vis\Desktop\OTL.exe
[2010.11.01 09:09:46 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.11.01 09:08:43 | 000,175,384 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.11.01 09:08:38 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.31 22:59:27 | 000,443,266 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.31 22:59:27 | 000,422,168 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.31 22:59:27 | 000,087,264 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.31 22:59:27 | 000,071,692 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.31 21:57:37 | 000,001,642 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.10.31 14:20:52 | 000,080,384 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\MBRCheck.exe
[2010.10.31 14:13:06 | 000,042,800 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\osam.html
[2010.10.31 13:55:16 | 004,272,474 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\osam_autorun_manager_5_0_portable.rar
[2010.10.31 13:54:13 | 000,294,912 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\y3opdql3.exe
[2010.10.29 12:49:27 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.10.29 12:49:21 | 002,385,624 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.28 22:14:51 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2010.10.28 21:51:04 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2010.10.28 11:15:46 | 000,001,024 | ---- | M] () -- C:\WINDOWS\ppengine.ini
[2010.10.27 11:29:20 | 000,003,094 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\kaspersky scan.html
[2010.10.26 17:38:59 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\defogger_reenable
[2010.10.23 01:59:26 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.10.22 17:39:58 | 000,008,029 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\Brian Ferry - Olympia.jpg
[2010.10.20 11:37:16 | 000,903,391 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Eigene Dateien\php burner.dxp
[2010.10.14 22:56:11 | 000,086,566 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\new playlist.m3u
[2010.10.07 19:04:38 | 000,001,543 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TV-Browser.lnk
[2010.10.07 17:58:42 | 000,003,816 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Eigene Dateien\l-vis an SEVERNAYA.rdp
[2010.10.04 14:07:48 | 000,000,865 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\Virtual PC Semipalatinsk.lnk
[2010.10.04 12:19:36 | 000,002,880 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\.recently-used.xbel
 
========== Files Created - No Company Name ==========
 
[2010.10.31 21:57:37 | 000,001,642 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.10.31 14:20:51 | 000,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\MBRCheck.exe
[2010.10.31 14:13:06 | 000,042,800 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\osam.html
[2010.10.31 13:55:11 | 004,272,474 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\osam_autorun_manager_5_0_portable.rar
[2010.10.31 13:54:13 | 000,294,912 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\y3opdql3.exe
[2010.10.28 22:14:51 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2010.10.28 22:14:48 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2010.10.28 21:51:04 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2010.10.27 11:29:20 | 000,003,094 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\kaspersky scan.html
[2010.10.26 17:38:59 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\defogger_reenable
[2010.10.25 15:47:54 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.10.25 15:47:54 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.10.25 15:47:54 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.10.25 15:47:54 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.10.25 15:47:54 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.10.22 18:00:37 | 000,008,029 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\Brian Ferry - Olympia.jpg
[2010.10.20 11:37:15 | 000,903,391 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Eigene Dateien\php burner.dxp
[2010.10.07 19:04:38 | 000,001,543 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TV-Browser.lnk
[2010.10.07 16:32:54 | 000,003,816 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Eigene Dateien\l-vis an SEVERNAYA.rdp
[2010.10.04 14:03:24 | 000,000,865 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Desktop\Virtual PC Semipalatinsk.lnk
[2010.10.04 12:19:36 | 000,002,880 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\.recently-used.xbel
[2010.04.07 01:42:26 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2010.04.07 00:19:55 | 000,000,129 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\FontDoctor Prefs
[2009.12.17 12:59:07 | 000,000,000 | ---- | C] () -- C:\WINDOWS\msicpl.ini
[2009.12.14 18:48:45 | 000,131,072 | R--- | C] () -- C:\WINDOWS\System32\smdll.dll
[2009.12.14 18:48:40 | 000,258,048 | R--- | C] () -- C:\WINDOWS\System32\HookMAp.dll
[2009.12.14 18:48:40 | 000,032,768 | R--- | C] () -- C:\WINDOWS\System32\Auxiliary.dll
[2009.12.14 18:48:39 | 000,262,144 | R--- | C] () -- C:\WINDOWS\System32\HookShield.dll
[2009.12.02 03:45:41 | 000,001,024 | ---- | C] () -- C:\WINDOWS\ppengine.ini
[2009.10.25 02:31:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\GraphEdt.INI
[2009.09.25 18:55:41 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2009.09.08 14:00:18 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2008.08.27 22:47:00 | 002,463,976 | ---- | C] () -- C:\WINDOWS\System32\NPSWF32.dll
[2008.08.09 11:07:27 | 000,534,034 | ---- | C] () -- C:\WINDOWS\System32\x264vfw.dll
[2008.03.08 23:07:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008.03.01 21:32:37 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\MMSwitch.dll
[2007.09.02 22:31:22 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.09.02 22:30:24 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll
[2007.09.02 22:30:24 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\PXTToolVC7.dll
[2007.02.25 11:55:31 | 000,034,308 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll
[2006.12.08 19:54:40 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\Iyvu9_32.dll
[2006.11.15 14:19:29 | 000,003,381 | ---- | C] () -- C:\WINDOWS\tm.ini
[2006.08.25 19:07:15 | 000,373,248 | ---- | C] () -- C:\WINDOWS\EyeCand3.INI
[2006.08.23 22:27:34 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.08.21 14:37:12 | 000,000,027 | ---- | C] () -- C:\WINDOWS\CDE P34903590GD.ini
[2006.07.26 17:48:45 | 000,000,104 | ---- | C] () -- C:\WINDOWS\euroglot.ini
[2006.07.19 02:19:09 | 000,119,296 | ---- | C] () -- C:\Dokumente und Einstellungen\l-vis\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.07.19 02:05:02 | 000,819,200 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2006.07.19 02:05:02 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2006.07.18 23:48:28 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS61.DLL
[2006.07.17 18:29:20 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\FTPStubInstUtils.dll
[2006.07.16 18:35:09 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.07.15 20:52:33 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.07.10 09:35:19 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.07.10 09:01:35 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2005.09.29 16:08:43 | 000,004,359 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.09.29 15:27:34 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys
[2005.08.09 23:12:28 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2005.08.02 15:35:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2005.08.02 15:35:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2005.08.02 15:35:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2005.08.02 15:35:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2005.08.02 15:35:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2005.08.02 15:35:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2004.08.04 13:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004.03.06 19:50:28 | 000,000,084 | ---- | C] () -- C:\WINDOWS\System32\srinter32.dll
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002.10.06 19:42:57 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2002.10.05 00:04:25 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll
[2002.10.05 00:04:24 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2002.10.05 00:04:17 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2001.12.12 11:41:36 | 000,041,472 | ---- | C] () -- C:\WINDOWS\System32\W32btstp.dll
[2001.12.12 11:41:36 | 000,025,088 | ---- | C] () -- C:\WINDOWS\System32\W32btxlt.dll
[2001.08.23 14:00:00 | 000,021,375 | -HS- | C] () -- C:\WINDOWS\System32\fcbgk.dll
[2000.12.04 19:27:06 | 000,110,080 | ---- | C] () -- C:\WINDOWS\System32\W32MKRC.DLL
[1999.05.14 14:05:22 | 000,015,627 | ---- | C] () -- C:\WINDOWS\System32\WBROLLRS.DLL
 
========== LOP Check ==========
 
[2010.05.07 20:05:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2008.05.03 20:01:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2009.12.25 19:11:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
[2007.09.02 22:31:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
[2007.12.01 18:35:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
[2009.11.04 17:44:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PhotoME
[2010.04.07 10:55:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlotSoft
[2009.11.21 22:19:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Quark
[2010.05.30 18:59:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.05.27 22:14:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.12.15 11:55:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WhereIsIt
[2010.05.27 17:39:44 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2009.10.06 20:27:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Canon
[2007.09.02 23:00:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\DataDesign
[2010.05.17 11:28:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\DeepBurner
[2010.06.24 09:04:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Digiarty
[2008.11.23 15:03:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\ePaperPress
[2010.05.25 17:34:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\EPSON
[2010.07.11 16:16:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\FFSJ
[2010.07.16 00:50:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\FreeFLVConverter
[2009.05.05 16:43:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\HDRsoft
[2009.08.27 00:29:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Imagenomic
[2010.09.22 19:21:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\KeePass
[2009.09.19 23:11:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\LEAPS
[2010.02.10 11:45:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mp3tag
[2009.11.09 23:12:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Nik Software
[2009.08.30 01:25:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Notepad++
[2010.06.20 01:53:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Orbit
[2007.12.01 18:35:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\PACE Anti-Piracy
[2009.09.19 17:41:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Pegasys Inc
[2009.02.15 17:04:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Quark
[2009.12.04 20:06:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\TeamViewer
[2009.12.09 18:22:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Typograf
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
[2009.07.06 10:58:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Application Data\Microsoft
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2010.05.31 12:29:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\AccurateRip
[2010.11.01 17:07:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Adobe
[2006.07.28 17:54:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\AdobeUM
[2009.10.06 20:27:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Canon
[2007.03.05 17:35:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\CyberLink
[2007.09.02 23:00:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\DataDesign
[2010.05.17 11:28:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\DeepBurner
[2010.06.24 09:04:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Digiarty
[2010.06.07 21:36:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\dvdcss
[2008.11.23 15:03:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\ePaperPress
[2010.05.25 17:34:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\EPSON
[2010.07.11 16:16:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\FFSJ
[2010.07.16 00:50:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\FreeFLVConverter
[2006.07.20 00:36:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Google
[2009.05.05 16:43:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\HDRsoft
[2006.07.18 22:23:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Help
[2006.07.15 16:53:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Identities
[2009.08.27 00:29:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Imagenomic
[2006.07.18 13:51:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Ipswitch
[2010.09.22 19:21:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\KeePass
[2009.09.19 23:11:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\LEAPS
[2009.10.03 22:32:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Logitech
[2006.07.22 14:26:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Macromedia
[2010.10.05 20:59:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Malwarebytes
[2010.10.28 21:59:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Media Player Classic
[2010.09.10 19:11:59 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Microsoft
[2009.12.22 01:28:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Move Networks
[2008.12.23 11:00:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla
[2010.02.10 11:45:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mp3tag
[2009.11.09 23:12:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Nik Software
[2009.08.30 01:25:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Notepad++
[2010.06.20 01:53:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Orbit
[2007.12.01 18:35:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\PACE Anti-Piracy
[2009.09.19 17:41:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Pegasys Inc
[2009.02.15 17:04:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Quark
[2009.02.27 19:15:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Real
[2007.09.06 19:31:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Sun
[2010.10.31 22:01:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\SUPERAntiSpyware.com
[2009.12.04 20:06:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\TeamViewer
[2009.12.09 18:22:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Typograf
[2009.12.11 18:12:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\U3
[2010.10.31 11:27:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\vlc
[2008.06.15 21:21:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\WinRAR
[2009.10.06 20:40:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\ZoomBrowser EX
 
< %APPDATA%\*.exe /s >
[2006.07.16 18:14:35 | 000,032,768 | R--- | M] () -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Microsoft\Installer\{35343FF7-939B-401A-87B3-FF90A5123D88}\icon.exe
[2009.02.12 19:37:34 | 000,097,144 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Move Networks\ie_bin\MovePlayerUpgrade.exe
[2009.03.26 11:37:29 | 000,034,062 | ---- | M] () -- C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Move Networks\ie_bin\Uninst.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2004.08.04 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2004.08.03 22:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\ERDNT\cache\AGP440.SYS
[2004.08.03 22:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\system32\dllcache\agp440.sys
[2004.08.03 22:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\system32\drivers\AGP440.SYS
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2004.08.03 21:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\ERDNT\cache\atapi.sys
[2004.08.03 21:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\dllcache\atapi.sys
[2004.08.03 21:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2004.08.04 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\ERDNT\cache\eventlog.dll
[2004.08.04 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\dllcache\eventlog.dll
[2004.08.04 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2004.08.04 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\ERDNT\cache\netlogon.dll
[2004.08.04 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\system32\dllcache\netlogon.dll
[2004.08.04 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: NVATA.SYS  >
[2006.04.24 16:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\NVIDIA\nForceWin2KXP\8.26\IDE\Win2K\sata_ide\nvata.sys
[2006.04.24 16:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\NVIDIA\nForceWin2KXP\8.26\IDE\WinXP\sata_ide\nvata.sys
 
< MD5 for: NVATABUS.SYS  >
[2006.04.24 16:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\NVIDIA\nForceWin2KXP\8.26\IDE\Win2K\sataraid\nvatabus.sys
[2006.04.24 16:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\NVIDIA\nForceWin2KXP\8.26\IDE\WinXP\sataraid\nvatabus.sys
 
< MD5 for: SCECLI.DLL  >
[2004.08.04 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\ERDNT\cache\scecli.dll
[2004.08.04 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\dllcache\scecli.dll
[2004.08.04 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2005.03.02 19:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\ERDNT\cache\user32.dll
[2005.03.02 19:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\system32\dllcache\user32.dll
[2005.03.02 19:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\system32\user32.dll
[2005.03.02 19:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2004.08.04 13:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtUninstallKB890859$\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2004.08.04 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\ERDNT\cache\userinit.exe
[2004.08.04 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2004.08.04 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\ERDNT\cache\winlogon.exe
[2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.04 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2005.09.29 17:07:07 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2005.09.29 17:07:07 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2005.09.29 17:07:07 | 000,434,176 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >

< End of report >
--- --- ---

cosinus 01.11.2010 19:45
Sieht unauffällig aus. Wird der Ordner noch erstellt? :wtf:

l-vis101 01.11.2010 20:05
Ja,
genauso wie ich gesagt habe.

- Starte Firefox und das Verzeichnis wird erstellt
- gehe auf eine Login-Seite und beobachte wie sich das Verzeichnis füllt.

Hab´s gerade mal mit web.de versucht (um sicherzustellen, dass es nicht nur bei t-online.de auftritt)... same, same

Die *.pst-datei schaut dann so aus:
---------------------------
<!-- Version: 3 Time: 2010-11-01 19:55:26 Url: https://login.web.de/intern/login/ Referrer: hxxp://web.de/ FFver: 3.6.11 (de) -->

https://login.web.de/intern/login/
Content-Type: application/x-www-form-urlencoded
Content-Length: 258

service=freemail&server=https%3A%2F%2Ffreemail.web.de&onerror=https%3A%2F%2Ffreemail.web.de%2Fmsg%2Ftemporaer.htm&onfail=https%3A%2F%2Ffreemail.web.de %2Fmsg%2Flogonfailed.htm&username=test&password=test&rv_dologon=Login&uinguserid=ac14087b-17478-1288637711-1
----------------------------

... hab mich als 'test' mit passwort 'test' angemeldet, wie du oben nachlesen kannst. Überflüssig zu erwähnen, dass ich diesen Test nicht mit realen Logons mache, dann steht in der nachfolgenden *.htm-Datei sowas wie 'Login Sucessful'

cosinus 01.11.2010 20:19
Dann ist der FF versaut :D

Probier erstmal ob das Verzeichnis auch im FF Safe-Mode erstellt wird => Abgesicherter Modus - FirefoxWiki
Falls das immer noch so sein sollte =>Firefox deinstallieren, danach das Installationsverzeichnis von FF (c:\programme\Mozilla Firefox) manuell noch löschen und den FF neu installieren. Beobachte dann ob der Ordner wieder erstellt wirde.

l-vis101 01.11.2010 20:38
bin gerade im safemode gestartet, hab t-online und web.de ausprobiert und es rührt sich nichts, d.h xmldm wird nicht angelegt.

Was ist besser/sicherer? FF komplett zu deinstallieren und das Mozilla-Verzeichnis zu löschen oder die plugins und Addons (was ist eigentlich der Unterschied?) einzeln zurückzubauen und zu beobachten was passiert. Liegen die Dateien der plugins und addons alle an einer bestimmten Stelle oder sind die letztendlich auch über die ganze Festplatte verstreut, so wie der Entwickler lustig war?

cosinus 01.11.2010 20:43
Wenn im Safe-Mode alles ok ist, wurde Dein Profil versaut. Lösch es und leg ein neues an.
Plugins werden ins Programmverzeichnis vom FF abgelegt, Addons sind benutzerabhängig und liegen daher im Profil.

l-vis101 01.11.2010 21:16
hab das Profil gelöscht und kein neues angelegt sondern FF geschlossen. Beim starten hat sich dann FF so verhalten als würde er nochmal bei null anfangen.
(ich hoffe mal, dass dieses Vorgehen soweit korrekt ist).

plugins sind alle noch da, Erweiterungen zeigt er mir aber keine mehr an.

Anyway, alles wie gehabt. xmldm wird bereits beim Start angelegt und auch weiterhin entsprechend gefüllt.

Ich werde morgen mal jedes einzelne Addon aufspühren, die Verzeichnisse löschen, dann Firefox deinstallieren, dessen Verzeichnisse löschen und nochmal von vorne anfangen.

Ich halte dich auf dem laufenden.
Danke dir nochmal für deine Mühe bis hierher!

l-vis101 10.11.2010 17:15
Hallo Arne,

hat etwas gedauert, ich bin erst jetzt wieder dazu gekommen.
Das Ergebnis gleich vorweg: De-/Neuinstallation von Firefox hat nix gebracht.

Dabei habe ich versucht alles richtig zu machen. Habe zuerst über die Systemsteuerung die Programme deinstalliert, die sich in installierte Browser einklinken wollen, so wie z.B. die Download Manager und so Zeug. Hab FF deinstalliert und dann "Programme" und "Dokumente und Einstellungen" nach verbliebenen Resten durchsucht und die einzeln gelöscht. Hab dann mit CCleaner die Reste gelöscht. Reboot und Neuinstallation von FF: Alles wie gehabt.

Als neueste Erkenntnis ist noch hinzugekommen, dass das Verzeichnis xmldm nur beim Start von FF angelegt wird. Wenn ich es dann lösche, wird es nicht automatisch neu angelegt, sobald es Daten zu schreiben gibt. Wo die Daten dann hinwandern weiß ich nicht.

Ich lass jetzt noch mal Komplettscans von MalwareBytes, Avira und Super AntiSpyWare drüberlaufen, das wird ne Weile dauern. Ich rechne aber aufgrund unserer früheren Erfahrung nicht wirklich mit Funden.

cosinus 10.11.2010 17:31
Aber im Safe-Mod war doch alles ok? :confused:
Bist Du sicher, dass du das alte Profil gelöscht hast komplett?

l-vis101 11.11.2010 12:23
... naja, wenn du so fragst, bin ich natürlich nicht sicher.
Ich hab nach der Deinstallation das Verzeichnis C:\Dokumente und Einstellungen\l-vis\Anwendungsdaten\Mozilla gelöscht. Habe im selben Pfad und ebenso in C:\Programme alles andere gelöscht was nach Mozilla oder verwandten Themen klang. Hab ich was übersehen?

MBAV-Scan war ganz ohne Befund

Avira hat auf einer USB-HD, die ich aber sonst nie an hatte in einer zip-Datei das hier gefunden: "enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Swizzor.363473L' [trojan]". Die ist jetzt in Quarantäne.

SuperAntiSpyWare läuft gerade noch.

Wenn das durch ist werde ich nochmal FF deinstallieren und die Verzeichnisse löschen. Gibt´s noch ne Stelle wo ich explizit nachsehen muss?

cosinus 12.11.2010 09:11
Die Frage ist eigentlich nur noch, ob der xmldm Ordner erstellt wird wenn Du FF startest.

l-vis101 12.11.2010 14:45
nein, die Frage war so gedacht, ob ich nach der Deinstallation von FF noch irgendwelche Verzeichnisse übersehen habe, in denen sich noch Reste von Profilen, Plug-Ins, Add-Ons, sonstigen Bullshits, versteckt haben könnten. Hast du noch ne Idee an welcher Stelle ich vor FF-Neuinstallation unbedingt ausputzen muss.

cosinus 12.11.2010 15:02
"Ausputzen" musst du wie gesagt nur das Programmverzeichnis und das Userprofil. Bei mir wären das mal als Beispiel diese Verzeichnisse:

Code:
c:/programme/mozilla firefox
c:/Dokumente und Einstellungen/arne/Anwendungsdaten/Mozilla/Firefox/Profiles/1t8z1zao.default

l-vis101 12.11.2010 16:14
Liste der Anhänge anzeigen (Anzahl: 1)
... wird nicht besser.

Deinstalliert, alle Verzeichnisse gelöscht, mit CCleaner gecheckt, Neuinstallation, ... bereits beim ersten Starten wird xmldm erstellt.

Bei der Neuinstallation werden automatisch, ohne Nachfrage, plugins installiert. Dabei bei mir unter anderem ein altes Acrobat-plugin (nicht der Reader) mit dem man Webseiten direkt in pdfs einlesen kann.
Das Ding habe ich eigentlich in Verdacht. Weiß aber noch nicht, wie ich dem Beikommen soll. Nur Deaktivieren ändert nichts.
... im safemode ist alles ok.

cosinus 12.11.2010 16:16
Schmeiß den AdobeReader aus dem System, weg damit :snyper:
Wiederhol danach die Prozedur mit dem Firefox und schau ob's besser wird.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131