Trojaner-Board - TR/Spy.51302422 in winlogon.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Spy.51302422 in winlogon.exe (https://www.trojaner-board.de/93115-tr-spy-51302422-winlogon-exe.html)

TR/Spy.51302422 in winlogon.exe

Hallo,

vor kurzem habe ich mir einen Virus eingefangen der sich RKIT/Bubnix.abd.1 schimpfte, dieser wurde aber erfolgreich gelöscht, folglich hatte ich danach eine Zeit lang Ruhe, auch nach dem rebooten, nun allerdings meldet mir Antivir bereits beim Start folgende Trojaner:

TR/Spy.51302422 in der winlogon.exe / explorer.exe
TR/PSW.LDPinch.agkv
RKIT/Bubnix.abd.1

ich habe versucht MBAM durchlaufen zu lassen allerdings meldet es mir das mein PC in Ordnung sei, aktualisieren kann ich MBAM allerdings nicht da ich während der Aktualisierung einen Blue Screen bekomme. Daher kann ich leider nur einen Hijackthis logfile anbieten.

Hoffe ihr könnt mir helfen, bin für jede Hilfe dankbar!

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 13:27:50, on 22.11.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\o2flash.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Pando Networks\Media Booster\PMB.exe

C:\Dokumente und Einstellungen\Sphirex\Startmenü\Programme\Autostart\algdyw32.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\alg.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: algdyw32.exe

O8 - Extra context menu item: Suche - hxxp://edits.myway.com/menusearch.jhtml?s=100000379&p=YI&si=&a=9306CC2F-1DF4-44F7-9E3E-34BC07395E94&n=2010081211

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1279027909359

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
 

--

End of file - 6150 bytes

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

netsvcs

drivers32 /all

%SYSTEMDRIVE%\*.*

%systemroot%\system32\*.wt

%systemroot%\system32\*.ruy

%systemroot%\Fonts\*.com

%systemroot%\Fonts\*.dll

%systemroot%\Fonts\*.ini

%systemroot%\Fonts\*.ini2

%systemroot%\system32\spool\prtprocs\w32x86\*.*

%systemroot%\REPAIR\*.bak1

%systemroot%\REPAIR\*.ini

%systemroot%\system32\*.jpg

%systemroot%\*.scr

%systemroot%\*._sy

%APPDATA%\Adobe\Update\*.*

%ALLUSERSPROFILE%\Favorites\*.*

%APPDATA%\Microsoft\*.*

%PROGRAMFILES%\*.*

%APPDATA%\Update\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\ws2help.dll /md5

/md5start

explorer.exe

winlogon.exe

wininit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://larusso.trojaner-board.de/Images/otlfix2.jpg.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Gmer startet automatisch einen ersten Scan.
Sollte sich ein Fenster mit folgender Warnung öffnen:

Code:

WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system?
Unbedingt auf "No" klicken,
in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

.
Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
Wenn der Scan fertig ist, bleibt die Zeile leer.
Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Erstmal danke für die schnelle und ausführliche Hilfe!

Habe alles wie beschrieben durchgeführt, hier die logfiles:

OTL

Code:

OTL logfile created on: 22.11.2010 15:10:05 - Run 1

OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Sphirex\Desktop

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

894,00 Mb Total Physical Memory | 480,00 Mb Available Physical Memory | 54,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free

Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 93,15 Gb Total Space | 48,04 Gb Free Space | 51,58% Space Free | Partition Type: NTFS

 

Computer Name: ALEXANDE-455B05 | User Name: Sphirex | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe

PRC - [2010.10.08 17:43:05 | 002,969,496 | ---- | M] () -- C:\Programme\Pando Networks\Media Booster\PMB.exe

PRC - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe

PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe

PRC - [2008.04.14 03:23:05 | 000,513,024 | ---- | M] () -- C:\WINDOWS\system32\winlogon.exe

PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] () -- C:\WINDOWS\explorer.exe

PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

PRC - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\o2flash.exe

 

 
 ========== Modules (SafeList) ==========

 

MOD - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe

MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)

SRV - [2010.09.23 09:34:53 | 002,950,744 | ---- | M] () [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Akamai\netsession_win_062a651.dll -- (Akamai)

SRV - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)

SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\o2flash.exe -- (O2Flash)

SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany)

DRV - [2009.11.25 11:19:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)

DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)

DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)

DRV - [2008.04.13 19:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbaudio.sys -- (usbaudio) USB-Audiotreiber (WDM)

DRV - [2008.04.13 18:40:58 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\changer.sys -- (Changer)

DRV - [2008.04.13 18:40:26 | 000,034,688 | ---- | M] (Toshiba Corp.) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\lbrtfdc.sys -- (lbrtfdc)

DRV - [2008.04.13 17:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)

DRV - [2006.12.21 17:05:22 | 001,294,336 | ---- | M] (C-Media Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cm108.sys -- (CM1083264)

DRV - [2006.05.10 11:27:00 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)

DRV - [2006.04.17 16:31:26 | 004,262,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)

DRV - [2006.04.04 21:58:44 | 001,536,000 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)

DRV - [2006.03.23 01:27:10 | 000,488,992 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)

DRV - [2006.02.27 15:00:50 | 000,034,880 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2media.sys -- (O2MDRDR)

DRV - [2006.02.20 16:01:06 | 000,029,056 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2sd.sys -- (O2SDRDR)

DRV - [2006.01.20 12:44:42 | 000,862,340 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial)

DRV - [2005.09.30 11:11:42 | 000,078,720 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)

DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..extensions.enabledItems: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1

FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q="

 

FF - HKLM\software\mozilla\Firefox\Extensions\\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}: C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275} [2010.10.09 15:09:59 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.19 17:17:08 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.16 19:42:14 | 000,000,000 | ---D | M]

 

[2010.02.25 20:16:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Extensions

[2010.08.12 21:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions

[2010.07.02 18:49:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}(2)

[2010.10.15 11:18:05 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2010.07.08 07:21:40 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2010.07.08 07:21:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2010.07.08 07:21:40 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2010.07.08 07:21:40 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2010.07.08 07:21:40 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)

O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe ()

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0

O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (PokerStars)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1279027909359 (MUWebControl Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe ()

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2010.02.25 13:37:12 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll ()

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

NetSvcs: 6to4 -  File not found

NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found

NetSvcs: Ias -  File not found

NetSvcs: Iprip -  File not found

NetSvcs: Irmon -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: WmdmPmSp -  File not found

 

Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: aux1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: aux2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: midi2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: midi3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)

Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: mixer2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: mixer3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)

Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)

Drivers32: msacm.l3acm - C:\Programme\GameHi_USA\SuddenAttackNA\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)

Drivers32: msacm.lameacm - C:\WINDOWS\System32\lameACM.acm (hxxp://www.mp3dev.org/)

Drivers32: msacm.lhacm - C:\WINDOWS\System32\lhacm.acm (Microsoft Corporation)

Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)

Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)

Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)

Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)

Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)

Drivers32: msacm.siren - C:\WINDOWS\System32\sirenacm.dll (Microsoft Corporation)

Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)

Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)

Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)

Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)

Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)

Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)

Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)

Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)

Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)

Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)

Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)

Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)

Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)

Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)

Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)

Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)

Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)

Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: wave2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: wave3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point (15776209447157760)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.11.22 13:10:15 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe

[2010.11.22 13:10:12 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe

[2010.11.22 13:10:10 | 006,153,352 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\mbam-setup-1.46.exe

[2010.10.09 15:14:06 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.10.09 15:13:59 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.10.09 14:21:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server

[2010.10.09 10:38:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs

[2010.08.16 14:35:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\microsoft

[2010.07.13 15:08:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates

[2010.07.13 15:08:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM

[2010.07.13 15:06:40 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8

[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[1 C:\*.tmp files -> C:\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.11.22 15:14:36 | 000,840,192 | ---- | M] () -- C:\WINDOWS\System32\drivers\bxsevl.sys

[2010.11.22 15:14:35 | 000,565,248 | ---- | M] () -- C:\WINDOWS\System32\drivers\dkbuoqmj.sys

[2010.11.22 15:08:14 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.11.22 15:05:16 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe

[2010.11.22 13:56:45 | 003,426,432 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2010.11.22 13:11:12 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job

[2010.11.22 13:10:50 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe

[2010.11.22 13:06:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.11.22 13:05:14 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe

[2010.11.22 13:00:10 | 006,153,352 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\mbam-setup-1.46.exe

[2010.11.20 15:23:00 | 000,496,152 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.11.20 15:23:00 | 000,472,176 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.11.20 15:23:00 | 000,100,610 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.11.20 15:23:00 | 000,084,048 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010.10.15 16:12:32 | 000,053,248 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.10.15 15:18:18 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Jyucoweqoharu.dat

[2010.10.15 11:13:35 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Yrumago.bin

[2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\System32\charonce.dll

[2010.10.05 19:13:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[2010.08.23 20:24:34 | 000,000,740 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PokerStars.net.lnk

[2010.08.20 00:20:01 | 000,000,667 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\paw·ned².lnk

[2010.08.18 17:04:57 | 000,000,584 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GUILD WARS.lnk

[2010.08.10 23:28:48 | 000,000,132 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe GIF Format CS5 Prefs

[2010.08.10 22:54:31 | 000,000,132 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe PNG Format CS5 Prefs

[2010.08.08 19:47:14 | 000,000,132 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe BMP Format CS5 Prefs

[2010.08.05 14:46:38 | 000,000,048 | -H-- | M] () -- C:\WINDOWS\System32\ezsidmv.dat

[2010.07.11 15:47:57 | 000,000,846 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Advanced SystemCare.lnk

[2010.05.29 13:51:33 | 000,019,856 | -H-- | M] () -- C:\WINDOWS\System32\mlfcache.dat

[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[1 C:\*.tmp files -> C:\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.11.22 15:09:29 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe

[2010.11.22 13:10:50 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.10.18 09:11:49 | 000,840,192 | ---- | C] () -- C:\WINDOWS\System32\drivers\bxsevl.sys

[2010.10.09 15:28:01 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\drivers\dkbuoqmj.sys

[2010.10.09 15:10:02 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Jyucoweqoharu.dat

[2010.10.09 15:10:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Yrumago.bin

[2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll

[2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat

[2010.08.23 20:24:34 | 000,000,740 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PokerStars.net.lnk

[2010.08.20 00:20:01 | 000,000,667 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\paw·ned².lnk

[2010.08.17 16:08:00 | 000,000,584 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GUILD WARS.lnk

[2010.08.14 15:52:48 | 000,000,422 | -H-- | C] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job

[2010.08.10 22:54:31 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe PNG Format CS5 Prefs

[2010.08.10 22:52:33 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe GIF Format CS5 Prefs

[2010.08.08 19:47:14 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe BMP Format CS5 Prefs

[2010.08.05 14:46:38 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat

[2010.07.11 15:47:57 | 000,000,846 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Advanced SystemCare.lnk

[2010.06.24 19:13:08 | 000,047,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativvpxx.vp

[2010.06.24 19:13:08 | 000,002,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativdkxx.vp

[2010.06.24 19:13:08 | 000,002,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativckxx.vp

[2010.06.24 19:13:08 | 000,000,929 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativcaxx.vp

[2010.06.24 19:13:07 | 000,370,049 | ---- | C] () -- C:\WINDOWS\System32\atmthaxx.hlx

[2010.06.24 19:13:07 | 000,356,937 | ---- | C] () -- C:\WINDOWS\System32\atmtrkxx.hlx

[2010.06.24 19:13:07 | 000,141,754 | ---- | C] () -- C:\WINDOWS\System32\attkorxx.hlx

[2010.06.24 19:13:07 | 000,141,746 | ---- | C] () -- C:\WINDOWS\System32\atmsvexx.hlx

[2010.06.24 19:13:07 | 000,124,376 | ---- | C] () -- C:\WINDOWS\System32\attjpnxx.hlx

[2010.06.24 19:13:07 | 000,120,302 | ---- | C] () -- C:\WINDOWS\System32\atttrkxx.hlx

[2010.06.24 19:13:07 | 000,045,991 | ---- | C] () -- C:\WINDOWS\System32\attchsxx.hlx

[2010.06.24 19:13:07 | 000,045,762 | ---- | C] () -- C:\WINDOWS\System32\attellxx.hlx

[2010.06.24 19:13:07 | 000,045,716 | ---- | C] () -- C:\WINDOWS\System32\atthunxx.hlx

[2010.06.24 19:13:07 | 000,045,632 | ---- | C] () -- C:\WINDOWS\System32\atthebxx.hlx

[2010.06.24 19:13:07 | 000,045,580 | ---- | C] () -- C:\WINDOWS\System32\attrusxx.hlx

[2010.06.24 19:13:07 | 000,045,411 | ---- | C] () -- C:\WINDOWS\System32\attfraxx.hlx

[2010.06.24 19:13:07 | 000,045,352 | ---- | C] () -- C:\WINDOWS\System32\attptbxx.hlx

[2010.06.24 19:13:07 | 000,044,980 | ---- | C] () -- C:\WINDOWS\System32\attespxx.hlx

[2010.06.24 19:13:07 | 000,044,814 | ---- | C] () -- C:\WINDOWS\System32\attdeuxx.hlx

[2010.06.24 19:13:07 | 000,044,687 | ---- | C] () -- C:\WINDOWS\System32\attdanxx.hlx

[2010.06.24 19:13:07 | 000,044,635 | ---- | C] () -- C:\WINDOWS\System32\attchtxx.hlx

[2010.06.24 19:13:07 | 000,044,514 | ---- | C] () -- C:\WINDOWS\System32\attcsyxx.hlx

[2010.06.24 19:13:07 | 000,044,430 | ---- | C] () -- C:\WINDOWS\System32\attplkxx.hlx

[2010.06.24 19:13:07 | 000,044,109 | ---- | C] () -- C:\WINDOWS\System32\attitaxx.hlx

[2010.06.24 19:13:07 | 000,043,526 | ---- | C] () -- C:\WINDOWS\System32\attnldxx.hlx

[2010.06.24 19:13:07 | 000,043,310 | ---- | C] () -- C:\WINDOWS\System32\attfinxx.hlx

[2010.06.24 19:13:07 | 000,043,288 | ---- | C] () -- C:\WINDOWS\System32\attnorxx.hlx

[2010.06.24 19:13:07 | 000,043,070 | ---- | C] () -- C:\WINDOWS\System32\attaraxx.hlx

[2010.06.24 19:13:07 | 000,041,943 | ---- | C] () -- C:\WINDOWS\System32\attthaxx.hlx

[2010.06.24 19:13:07 | 000,041,265 | ---- | C] () -- C:\WINDOWS\System32\attsvexx.hlx

[2010.06.24 19:13:07 | 000,040,651 | ---- | C] () -- C:\WINDOWS\System32\attenuxx.hlx

[2010.06.24 19:13:06 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativvaxx.dat

[2010.06.24 19:13:06 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat

[2010.06.24 19:13:06 | 001,311,202 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativcaxx.cpa

[2010.06.24 19:13:06 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat

[2010.06.24 19:13:06 | 000,473,475 | ---- | C] () -- C:\WINDOWS\System32\atmkorxx.hlx

[2010.06.24 19:13:06 | 000,399,936 | ---- | C] () -- C:\WINDOWS\System32\atmjpnxx.hlx

[2010.06.24 19:13:06 | 000,353,829 | ---- | C] () -- C:\WINDOWS\System32\atmrusxx.hlx

[2010.06.24 19:13:06 | 000,189,356 | ---- | C] () -- C:\WINDOWS\System32\atmchsxx.hlx

[2010.06.24 19:13:06 | 000,158,080 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat

[2010.06.24 19:13:06 | 000,155,364 | ---- | C] () -- C:\WINDOWS\System32\atmaraxx.hlx

[2010.06.24 19:13:06 | 000,148,616 | ---- | C] () -- C:\WINDOWS\System32\atmhunxx.hlx

[2010.06.24 19:13:06 | 000,148,498 | ---- | C] () -- C:\WINDOWS\System32\atmplkxx.hlx

[2010.06.24 19:13:06 | 000,148,083 | ---- | C] () -- C:\WINDOWS\System32\atmellxx.hlx

[2010.06.24 19:13:06 | 000,147,444 | ---- | C] () -- C:\WINDOWS\System32\atmdeuxx.hlx

[2010.06.24 19:13:06 | 000,145,641 | ---- | C] () -- C:\WINDOWS\System32\atmcsyxx.hlx

[2010.06.24 19:13:06 | 000,145,421 | ---- | C] () -- C:\WINDOWS\System32\atmchtxx.hlx

[2010.06.24 19:13:06 | 000,145,090 | ---- | C] () -- C:\WINDOWS\System32\atmfraxx.hlx

[2010.06.24 19:13:06 | 000,144,323 | ---- | C] () -- C:\WINDOWS\System32\atmhebxx.hlx

[2010.06.24 19:13:06 | 000,144,213 | ---- | C] () -- C:\WINDOWS\System32\atmfinxx.hlx

[2010.06.24 19:13:06 | 000,142,359 | ---- | C] () -- C:\WINDOWS\System32\atmdanxx.hlx

[2010.06.24 19:13:06 | 000,140,646 | ---- | C] () -- C:\WINDOWS\System32\atmitaxx.hlx

[2010.06.24 19:13:06 | 000,140,307 | ---- | C] () -- C:\WINDOWS\System32\atmptbxx.hlx

[2010.06.24 19:13:06 | 000,140,040 | ---- | C] () -- C:\WINDOWS\System32\atmespxx.hlx

[2010.06.24 19:13:06 | 000,139,835 | ---- | C] () -- C:\WINDOWS\System32\atmnldxx.hlx

[2010.06.24 19:13:06 | 000,139,810 | ---- | C] () -- C:\WINDOWS\System32\atmnorxx.hlx

[2010.06.24 19:13:06 | 000,136,272 | ---- | C] () -- C:\WINDOWS\System32\atmenuxx.hlx

[2010.06.24 19:13:06 | 000,066,161 | ---- | C] () -- C:\WINDOWS\System32\atfkorxx.hlx

[2010.06.24 19:13:06 | 000,049,807 | ---- | C] () -- C:\WINDOWS\System32\atfjpnxx.hlx

[2010.06.24 19:13:06 | 000,048,174 | ---- | C] () -- C:\WINDOWS\System32\atftrkxx.hlx

[2010.06.24 19:13:06 | 000,027,697 | ---- | C] () -- C:\WINDOWS\System32\atfhebxx.hlx

[2010.06.24 19:13:06 | 000,026,864 | ---- | C] () -- C:\WINDOWS\System32\atfchsxx.hlx

[2010.06.24 19:13:06 | 000,026,138 | ---- | C] () -- C:\WINDOWS\System32\atfplkxx.hlx

[2010.06.24 19:13:06 | 000,025,327 | ---- | C] () -- C:\WINDOWS\System32\atfrusxx.hlx

[2010.06.24 19:13:06 | 000,025,224 | ---- | C] () -- C:\WINDOWS\System32\atfellxx.hlx

[2010.06.24 19:13:06 | 000,024,892 | ---- | C] () -- C:\WINDOWS\System32\atfhunxx.hlx

[2010.06.24 19:13:06 | 000,024,873 | ---- | C] () -- C:\WINDOWS\System32\atfthaxx.hlx

[2010.06.24 19:13:06 | 000,024,712 | ---- | C] () -- C:\WINDOWS\System32\atfptbxx.hlx

[2010.06.24 19:13:06 | 000,024,652 | ---- | C] () -- C:\WINDOWS\System32\atfaraxx.hlx

[2010.06.24 19:13:06 | 000,024,640 | ---- | C] () -- C:\WINDOWS\System32\atffraxx.hlx

[2010.06.24 19:13:06 | 000,024,589 | ---- | C] () -- C:\WINDOWS\System32\atfchtxx.hlx

[2010.06.24 19:13:06 | 000,024,569 | ---- | C] () -- C:\WINDOWS\System32\atfcsyxx.hlx

[2010.06.24 19:13:06 | 000,024,557 | ---- | C] () -- C:\WINDOWS\System32\atfdeuxx.hlx

[2010.06.24 19:13:06 | 000,024,506 | ---- | C] () -- C:\WINDOWS\System32\atfitaxx.hlx

[2010.06.24 19:13:06 | 000,024,382 | ---- | C] () -- C:\WINDOWS\System32\atfespxx.hlx

[2010.06.24 19:13:06 | 000,024,260 | ---- | C] () -- C:\WINDOWS\System32\atffinxx.hlx

[2010.06.24 19:13:06 | 000,024,229 | ---- | C] () -- C:\WINDOWS\System32\atfnorxx.hlx

[2010.06.24 19:13:06 | 000,024,186 | ---- | C] () -- C:\WINDOWS\System32\atfnldxx.hlx

[2010.06.24 19:13:06 | 000,024,065 | ---- | C] () -- C:\WINDOWS\System32\atfdanxx.hlx

[2010.06.24 19:13:06 | 000,023,980 | ---- | C] () -- C:\WINDOWS\System32\atfsvexx.hlx

[2010.06.24 19:13:06 | 000,023,224 | ---- | C] () -- C:\WINDOWS\System32\atfenuxx.hlx

[2010.06.24 19:13:05 | 000,034,920 | ---- | C] () -- C:\WINDOWS\System32\omega_drivers.bmp

[2010.06.24 19:13:05 | 000,011,717 | ---- | C] () -- C:\WINDOWS\atiogl.xml

[2010.06.24 19:13:05 | 000,007,167 | ---- | C] () -- C:\WINDOWS\System32\atifglpf.xml

[2010.06.08 18:04:14 | 000,049,448 | ---- | C] () -- C:\Programme\changelog.txt

[2010.05.29 13:51:33 | 000,019,856 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat

[2010.02.26 10:37:14 | 000,053,248 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.02.25 21:11:49 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\CM108rm.dll

[2010.02.25 18:49:45 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll

[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56spn.dll

[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56itl.dll

[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56eng.dll

[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56brz.dll

[2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56ger.dll

[2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56fra.dll

[2010.02.25 18:43:56 | 000,053,248 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll

[2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56cht.dll

[2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56chs.dll

[2010.02.25 13:48:06 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2010.02.25 13:40:24 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

[2010.02.25 13:27:27 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2005.01.21 12:02:28 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll

[2001.03.30 21:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll

 
 ========== LOP Check ==========

 

[2010.04.28 12:50:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CCP

[2010.03.25 20:19:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IObit

[2010.10.08 22:35:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files

[2010.08.06 16:52:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe

[2010.05.24 16:09:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2010.03.19 05:01:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}

[2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669

[2010.08.11 11:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\DVDVideoSoftIEHelpers

[2010.03.06 01:24:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\FileZilla

[2010.02.25 23:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\GetRightToGo

[2010.07.02 19:21:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\gtk-2.0

[2010.03.25 20:18:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\IObit

[2010.08.05 14:27:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Notepad++

[2010.03.05 12:44:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\OpenOffice.org

[2010.03.06 03:53:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PhotoFiltre

[2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong

[2010.03.27 23:00:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\SWiSH Max3

[2010.03.18 14:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Trillian

[2010.03.18 19:21:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TS3Client

[2010.03.07 04:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1

[2010.11.22 13:11:12 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 

 
 < %SYSTEMDRIVE%\*.* >

[2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT

[2010.03.25 17:24:44 | 000,000,223 | RHS- | M] () -- C:\boot.ini

[2004.08.04 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin

[2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS

[2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\IO.SYS

[2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS

[2004.08.04 13:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM

[2010.03.05 01:31:34 | 000,251,712 | RHS- | M] () -- C:\ntldr

[2010.11.22 15:08:09 | 1409,286,144 | -HS- | M] () -- C:\pagefile.sys

[1 C:\*.tmp files -> C:\*.tmp -> ]

 
 < %systemroot%\system32\*.wt >

 
 < %systemroot%\system32\*.ruy >

 
 < %systemroot%\Fonts\*.com >

[2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont

[2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont

[2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont

[2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont

 
 < %systemroot%\Fonts\*.dll >

 
 < %systemroot%\Fonts\*.ini >

[2010.02.25 13:36:43 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini

 
 < %systemroot%\Fonts\*.ini2 >

 
 < %systemroot%\system32\spool\prtprocs\w32x86\*.* >

[2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll

[2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe

 
 < %systemroot%\REPAIR\*.bak1 >

 
 < %systemroot%\REPAIR\*.ini >

 
 < %systemroot%\system32\*.jpg >

 
 < %systemroot%\*.scr >

 
 < %systemroot%\*._sy >

 
 < %APPDATA%\Adobe\Update\*.* >

 
 < %ALLUSERSPROFILE%\Favorites\*.* >

 
 < %APPDATA%\Microsoft\*.* >

 
 < %PROGRAMFILES%\*.* >

[2010.06.08 18:04:14 | 000,049,448 | ---- | M] () -- C:\Programme\changelog.txt

 
 < %APPDATA%\Update\*.* >

 
 < %systemroot%\*. /mp /s >

 
 < %systemroot%\system32\*.dll /lockedfiles >

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %systemroot%\Tasks\*.job /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

[2010.02.25 14:25:15 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav

[2010.02.25 14:25:15 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav

[2010.02.25 14:25:14 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

 
 < %systemroot%\system32\user32.dll /md5 >

[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %systemroot%\system32\ws2_32.dll /md5 >

[2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %systemroot%\system32\ws2help.dll /md5 >

[2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 

 
 < MD5 for: EXPLORER.EXE  >

[2004.08.04 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\explorer.exe

 
 < MD5 for: WINLOGON.EXE  >

[2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\winlogon.exe

 
 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

 
 < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

 
 <           >
 

< End of report >

Extras

Code:

OTL Extras logfile created on: 22.11.2010 15:10:05 - Run 1

OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Sphirex\Desktop

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

894,00 Mb Total Physical Memory | 480,00 Mb Available Physical Memory | 54,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free

Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 93,15 Gb Total Space | 48,04 Gb Free Space | 51,58% Space Free | Partition Type: NTFS

 

Computer Name: ALEXANDE-455B05 | User Name: Sphirex | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = htmlfile] -- Reg Error: Key error. File not found

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()

Directory [find] -- %SystemRoot%\Explorer.exe ()

Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()

Directory [Winamp.Bookmark] -- Reg Error: Value error.

Directory [Winamp.Enqueue] -- Reg Error: Value error.

Directory [Winamp.Play] -- Reg Error: Value error.

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L ()

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L ()

Drive [find] -- %SystemRoot%\Explorer.exe ()

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"57835:TCP" = 57835:TCP:*:Enabled:Pando Media Booster

"57835:UDP" = 57835:UDP:*:Enabled:Pando Media Booster

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007

"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

"57835:TCP" = 57835:TCP:*:Enabled:Pando Media Booster

"57835:UDP" = 57835:UDP:*:Enabled:Pando Media Booster

"1564:TCP" = 1564:TCP:*:Enabled:Akamai NetSession Interface

"5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\Kamuse\KCSTrayDownloader\KCSTrayDownloaderEngine.exe" = C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\Kamuse\KCSTrayDownloader\KCSTrayDownloaderEngine.exe:*:Enabled:KCSTrayDownloaderEngine -- (Kamuse, Incorporated)

"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)

"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)

"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86

"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu

"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86

"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour

"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86

"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter

"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool

"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT

"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18

"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{38C7CB9E-1451-38D5-BB97-B7FC59E1A8B8}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Web - deu

"{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729

"{3D9892BB-A751-4E48-ADC8-E4289956CE1D}" = QuickTime

"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent

"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053

"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86

"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{732799C0-7785-43C5-8496-71546A062992}" = SuddenAttackNA

"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec

"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable

"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support

"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player

"{8D70145A-3BD3-4DBF-9CBF-223EF4A43257}" = ATI Parental Control & Encoder

"{91CA8C77-30FC-4AAF-B2EE-F51B0746D95C}" = ATI Catalyst Control Center

"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86

"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting

"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A4394612-D02F-11DC-9BFF-D18556D89593}" = Microsoft ASP.NET MVC 1.0

"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder

"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter

"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch

"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger

"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder

"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter

"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support

"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C1E11C46-E6EB-4BD2-9ADF-2A98ACBEB216}" = iTunes

"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU

"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU

"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials

"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86

"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call

"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86

"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack

"{EB1B0104-6A57-446F-B855-FDF49151BE0C}" = O2Micro Flash Memory Card Windows Driver V2.04

"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"7-Zip" = 7-Zip 4.65

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Advanced SystemCare 3_is1" = Advanced SystemCare 3

"Akamai" = Akamai NetSession Interface

"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software

"ATI Display Driver" = ATI Display Driver

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"CCleaner" = CCleaner

"CFF5FD902CAD8828AC62E155C542E69D5439C37A" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor  (04/28/2006 1.3.1.0)

"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters

"Game Booster_is1" = Game Booster

"Generic USB 108 Sound" = C-Media USB 108 Sound

"Guild Wars" = GUILD WARS

"ie8" = Windows Internet Explorer 8

"InstallShield_{EB1B0104-6A57-446F-B855-FDF49151BE0C}" = O2Micro Flash Memory Card Windows Driver V2.04

"LameACM" = LameACM

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1

"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)

"paw·ned²" = paw·ned² v1.3

"PokerStars.net" = PokerStars.net

"SMSERIAL" = Motorola SM56 Data Fax Modem

"Uninstall_is1" = Uninstall 1.0.0.1

"VLC media player" = VLC media player 1.0.5

"WIC" = Windows Imaging Component

"Windows XP Service Pack" = Windows XP Service Pack 3

"WinLiveSuite_Wave3" = Windows Live Essentials

"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

 
 ========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"PhotoFiltre" = PhotoFiltre

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 20.11.2010 10:20:54 | Computer Name = ALEXANDE-455B05 | Source = PerfNet | ID = 2004

Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen

werden

 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

 

Error - 22.11.2010 08:07:20 | Computer Name = ALEXANDE-455B05 | Source = WmiAdapter | ID = 4099

Description = Dienst konnte nicht geöffnet werden.

 

[ System Events ]

Error - 22.11.2010 08:08:43 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist

 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden

 durchgeführt: Starten Sie den Dienst neu..

 

Error - 22.11.2010 08:28:45 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist

 bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden

 durchgeführt: Starten Sie den Dienst neu..

 

Error - 22.11.2010 08:28:53 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7034

Description = Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist bereits

 3 Mal passiert.

 

Error - 22.11.2010 08:56:33 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225

Description = CPLIB :: Open Session  - Failed to load the library

 

Error - 22.11.2010 09:10:10 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225

Description = CPLIB :: Open Session  - Failed to load the library

 

Error - 22.11.2010 09:11:28 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist

 bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden

 durchgeführt: Starten Sie den Dienst neu..

 

Error - 22.11.2010 09:11:39 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist

 bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden

 durchgeführt: Starten Sie den Dienst neu..

 

Error - 22.11.2010 09:11:58 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7034

Description = Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist bereits

 3 Mal passiert.

 

Error - 22.11.2010 09:14:07 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225

Description = CPLIB :: Open Session  - Failed to load the library

 

Error - 22.11.2010 10:08:42 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225

Description = CPLIB :: Open Session  - Failed to load the library

 

 

< End of report >

gmer_first.log

Code:

GMER 1.0.15.15530 - hxxp://www.gmer.net

Rootkit quick scan 2010-11-22 15:22:45

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHV2100BH rev.00000029

Running: 2tu2mzmd.exe; Driver: C:\DOKUME~1\Sphirex\LOKALE~1\Temp\uwwyqpow.sys
 
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Ntfs \Ntfs       84B40050
 

AttachedDevice  \FileSystem\Fastfat \Fat     fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

Device          \Driver\Tcpip \Device\Ip     8488F508

Device          \Driver\Tcpip \Device\Tcp    8488F508

Device          \Driver\Tcpip \Device\Udp    8488F508

Device          \Driver\Tcpip \Device\RawIp  8488F508
 

---- Services - GMER 1.0.15 ----
 

Service          (*** hidden *** )           [BOOT] bxsevl                                                            <-- ROOTKIT !!!

Service          (*** hidden *** )           [BOOT] dkbuoqmj                                                          <-- ROOTKIT !!!
 

---- EOF - GMER 1.0.15 ----

Schritt 1

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

Schließe alle Browserfenster.
Doppelklicke die JavaRa.exe, um das Programm zu starten.
Die Sprache auswählen, nimm Englisch und klicke "Select".
Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update 22) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.

Schritt 2

Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://larusso.trojaner-board.de/Images/avenger.jpg

Kopiere nun folgenden Text in das weiße Feld (bei -> "input script here")

Code:

Drivers to delete: bxsevl dkbuoqmj Files to delete: C:\WINDOWS\System32\drivers\bxsevl.sys C:\WINDOWS\System32\drivers\dkbuoqmj.sys
Setze den Haken bei Automatically disable any rootkits found
Schließe alle laufenden Programme. Trenne Dich vom Internet.
Starte Avenger mit Klick auf Execute
Bestätige mit Yes den Neustart des Rechners.
Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Poste mir in deiner nächsten Antwort den Inhalt der Avenger.txt

Schritt 3

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)

O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll ()

[2010.10.18 09:11:49 | 000,840,192 | ---- | C] () -- C:\WINDOWS\System32\drivers\bxsevl.sys

[2010.10.09 15:28:01 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\drivers\dkbuoqmj.sys

[2010.10.09 15:10:02 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Jyucoweqoharu.dat

[2010.10.09 15:10:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Yrumago.bin

[2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll

[2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat

[2010.11.22 15:05:16 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe

[2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669

FF - HKLM\software\mozilla\Firefox\Extensions\\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}: C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275} [2010.10.09 15:09:59 | 000,000,000 | ---D | M]

[2010.10.09 14:21:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server

[2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong

:Commands

[purity]

[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
Klick auf http://larusso.trojaner-board.de/Images/otlfix2.jpg.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 4

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

netsvcs

drivers32 /all

%SYSTEMDRIVE%\*.*

%systemroot%\system32\*.wt

%systemroot%\system32\*.ruy

%systemroot%\Fonts\*.com

%systemroot%\Fonts\*.dll

%systemroot%\Fonts\*.ini

%systemroot%\Fonts\*.ini2

%systemroot%\system32\spool\prtprocs\w32x86\*.*

%systemroot%\REPAIR\*.bak1

%systemroot%\REPAIR\*.ini

%systemroot%\system32\*.jpg

%systemroot%\*.scr

%systemroot%\*._sy

%APPDATA%\Adobe\Update\*.*

%ALLUSERSPROFILE%\Favorites\*.*

%APPDATA%\Microsoft\*.*

%PROGRAMFILES%\*.*

%APPDATA%\Update\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\ws2help.dll /md5

/md5start

explorer.exe

winlogon.exe

wininit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://larusso.trojaner-board.de/Images/otlfix2.jpg.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bin wie gewünscht den Anleitungen gefolgt, allerdings bekam ich bei Schritt 3 einen Blue Screen.

Bei Schritt 4 bekam ich beim ersten Scan, beim Punkt "Creating restore point" folgenden Error: "Access violation at adress 0040295B in module 'OTL.exe'. Road of address 001D7000. Bei einem erneuten Scan mit selbigen Einstellungen funktionierte es dann aber, nur die Extra.txt hab ich nicht, keine Ahnung warum.

JavaRa.log

Code:

JavaRa 1.16 Removal Log.
 

Report follows after line.
 

------------------------------------
 

The JavaRa removal process was started on Mon Nov 22 16:42:52 2010
 

Found and removed: C:\Programme\Java\jre1.5.0_06
 

Found and removed: Software\JavaSoft\Java2D\1.5.0_06
 

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
 

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510006
 

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510006
 

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510006
 

Found and removed: SOFTWARE\Classes\JavaPlugin.150_06
 

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0
 

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_06
 

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5
 

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_06
 

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510006
 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510006
 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150060}
 

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBC}
 

Found and removed: SOFTWARE\Classes\JavaPlugin.160_18
 

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_18
 

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_18
 

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1
 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02
 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03
 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04
 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_06
 

Found and removed: Software\Classes\JavaPlugin.160_18
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}
 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2
 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01
 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_18
 

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_18
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}
 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}
 

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
 

------------------------------------
 

Finished reporting.

Avenger.txt

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

hxxp://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Driver "bxsevl" deleted successfully.

Driver "dkbuoqmj" deleted successfully.

File "C:\WINDOWS\System32\drivers\bxsevl.sys" deleted successfully.

File "C:\WINDOWS\System32\drivers\dkbuoqmj.sys" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

OTL.txt

Code:

OTL logfile created on: 22.11.2010 17:19:51 - Run 2

OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\Sphirex\Desktop

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

894,00 Mb Total Physical Memory | 506,00 Mb Available Physical Memory | 57,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free

Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 93,15 Gb Total Space | 47,54 Gb Free Space | 51,04% Space Free | Partition Type: NTFS

 

Computer Name: ALEXANDE-455B05 | User Name: Sphirex | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe

PRC - [2010.10.08 17:43:05 | 002,969,496 | ---- | M] () -- C:\Programme\Pando Networks\Media Booster\PMB.exe

PRC - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe

PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe

PRC - [2008.04.14 03:23:05 | 000,513,024 | ---- | M] () -- C:\WINDOWS\system32\winlogon.exe

PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] () -- C:\WINDOWS\explorer.exe

PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

PRC - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\o2flash.exe

 

 
 ========== Modules (SafeList) ==========

 

MOD - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe

MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)

SRV - [2010.09.23 09:34:53 | 002,950,744 | ---- | M] () [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Akamai\netsession_win_062a651.dll -- (Akamai)

SRV - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)

SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\o2flash.exe -- (O2Flash)

SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany)

DRV - [2009.11.25 11:19:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)

DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)

DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)

DRV - [2008.04.13 19:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbaudio.sys -- (usbaudio) USB-Audiotreiber (WDM)

DRV - [2008.04.13 18:40:58 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\changer.sys -- (Changer)

DRV - [2008.04.13 18:40:26 | 000,034,688 | ---- | M] (Toshiba Corp.) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\lbrtfdc.sys -- (lbrtfdc)

DRV - [2008.04.13 17:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)

DRV - [2006.12.21 17:05:22 | 001,294,336 | ---- | M] (C-Media Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cm108.sys -- (CM1083264)

DRV - [2006.05.10 11:27:00 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)

DRV - [2006.04.17 16:31:26 | 004,262,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)

DRV - [2006.04.04 21:58:44 | 001,536,000 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)

DRV - [2006.03.23 01:27:10 | 000,488,992 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)

DRV - [2006.02.27 15:00:50 | 000,034,880 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2media.sys -- (O2MDRDR)

DRV - [2006.02.20 16:01:06 | 000,029,056 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2sd.sys -- (O2SDRDR)

DRV - [2006.01.20 12:44:42 | 000,862,340 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial)

DRV - [2005.09.30 11:11:42 | 000,078,720 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)

DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"

FF - prefs.js..extensions.enabledItems: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q="

 

FF - HKLM\software\mozilla\Firefox\Extensions\\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}: C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275} [2010.10.09 15:09:59 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.19 17:17:08 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.11.22 16:56:07 | 000,000,000 | ---D | M]

 

[2010.02.25 20:16:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Extensions

[2010.08.12 21:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions

[2010.07.02 18:49:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}(2)

[2010.11.22 16:59:48 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2010.11.22 16:56:09 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

[2010.11.22 16:55:48 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll

[2010.07.08 07:21:40 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2010.07.08 07:21:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2010.07.08 07:21:40 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2010.07.08 07:21:40 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2010.07.08 07:21:40 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe ()

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0

O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (PokerStars)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1279027909359 (MUWebControl Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe ()

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2010.02.25 13:37:12 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll ()

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point (15776209447157760)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.11.22 17:07:54 | 000,000,000 | ---D | C] -- C:\_OTL

[2010.11.22 17:02:56 | 000,000,000 | ---D | C] -- C:\Avenger

[2010.11.22 16:57:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\LogFiles

[2010.11.22 16:51:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sphirex\Desktop\Alte Logs

[2010.11.22 13:10:15 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe

[2010.11.22 13:10:12 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe

[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[1 C:\*.tmp files -> C:\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.11.22 17:08:46 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.11.22 16:40:28 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\avenger.exe

[2010.11.22 16:40:03 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job

[2010.11.22 15:05:16 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe

[2010.11.22 13:56:45 | 003,426,432 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2010.11.22 13:10:50 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe

[2010.11.22 13:06:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.11.22 13:05:14 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe

[2010.11.20 15:23:00 | 000,496,152 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.11.20 15:23:00 | 000,472,176 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.11.20 15:23:00 | 000,100,610 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.11.20 15:23:00 | 000,084,048 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[1 C:\*.tmp files -> C:\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.11.22 16:40:26 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\avenger.exe

[2010.11.22 15:09:29 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe

[2010.11.22 13:10:50 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll

[2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat

[2010.08.10 22:54:31 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe PNG Format CS5 Prefs

[2010.08.10 22:52:33 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe GIF Format CS5 Prefs

[2010.08.08 19:47:14 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe BMP Format CS5 Prefs

[2010.06.08 18:04:14 | 000,049,448 | ---- | C] () -- C:\Programme\changelog.txt

[2010.02.26 10:37:14 | 000,053,248 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.02.25 21:11:49 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\CM108rm.dll

[2010.02.25 18:49:45 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll

[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56spn.dll

[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56itl.dll

[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56eng.dll

[2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56brz.dll

[2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56ger.dll

[2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56fra.dll

[2010.02.25 18:43:56 | 000,053,248 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll

[2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56cht.dll

[2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56chs.dll

[2010.02.25 13:48:06 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2010.02.25 13:40:24 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

[2010.02.25 13:27:27 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2005.01.21 12:02:28 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll

[2001.03.30 21:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll

 
 ========== LOP Check ==========

 

[2010.04.28 12:50:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CCP

[2010.03.25 20:19:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IObit

[2010.10.08 22:35:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files

[2010.08.06 16:52:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe

[2010.05.24 16:09:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2010.03.19 05:01:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}

[2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669

[2010.08.11 11:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\DVDVideoSoftIEHelpers

[2010.03.06 01:24:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\FileZilla

[2010.02.25 23:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\GetRightToGo

[2010.07.02 19:21:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\gtk-2.0

[2010.03.25 20:18:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\IObit

[2010.08.05 14:27:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Notepad++

[2010.03.05 12:44:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\OpenOffice.org

[2010.03.06 03:53:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PhotoFiltre

[2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong

[2010.03.27 23:00:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\SWiSH Max3

[2010.03.18 14:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Trillian

[2010.03.18 19:21:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TS3Client

[2010.03.07 04:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1

[2010.11.22 16:40:03 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 

 
 < %SYSTEMDRIVE%\*.* >

[2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT

[2010.11.22 17:02:56 | 000,001,326 | ---- | M] () -- C:\avenger.txt

[2010.03.25 17:24:44 | 000,000,223 | RHS- | M] () -- C:\boot.ini

[2004.08.04 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin

[2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS

[2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\IO.SYS

[2010.11.22 16:43:00 | 000,007,960 | ---- | M] () -- C:\JavaRa.log

[2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS

[2004.08.04 13:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM

[2010.03.05 01:31:34 | 000,251,712 | RHS- | M] () -- C:\ntldr

[2010.11.22 17:08:41 | 1409,286,144 | -HS- | M] () -- C:\pagefile.sys

[1 C:\*.tmp files -> C:\*.tmp -> ]

 
 < %systemroot%\system32\*.wt >

 
 < %systemroot%\system32\*.ruy >

 
 < %systemroot%\Fonts\*.com >

[2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont

[2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont

[2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont

[2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont

 
 < %systemroot%\Fonts\*.dll >

 
 < %systemroot%\Fonts\*.ini >

[2010.02.25 13:36:43 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini

 
 < %systemroot%\Fonts\*.ini2 >

 
 < %systemroot%\system32\spool\prtprocs\w32x86\*.* >

[2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll

[2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe

 
 < %systemroot%\REPAIR\*.bak1 >

 
 < %systemroot%\REPAIR\*.ini >

 
 < %systemroot%\system32\*.jpg >

 
 < %systemroot%\*.scr >

 
 < %systemroot%\*._sy >

 
 < %APPDATA%\Adobe\Update\*.* >

 
 < %ALLUSERSPROFILE%\Favorites\*.* >

 
 < %APPDATA%\Microsoft\*.* >

 
 < %PROGRAMFILES%\*.* >

[2010.06.08 18:04:14 | 000,049,448 | ---- | M] () -- C:\Programme\changelog.txt

 
 < %APPDATA%\Update\*.* >

 
 < %systemroot%\*. /mp /s >

 
 < %systemroot%\system32\*.dll /lockedfiles >

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %systemroot%\Tasks\*.job /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

[2010.02.25 14:25:15 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav

[2010.02.25 14:25:15 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav

[2010.02.25 14:25:14 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

 
 < %systemroot%\system32\user32.dll /md5 >

[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %systemroot%\system32\ws2_32.dll /md5 >

[2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %systemroot%\system32\ws2help.dll /md5 >

[2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll

[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 

 
 < MD5 for: EXPLORER.EXE  >

[2004.08.04 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\explorer.exe

 
 < MD5 for: WINLOGON.EXE  >

[2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\winlogon.exe

 
 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

 
 < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

 
 <           >
 

< End of report >

Versuch nochmal ein OTL Fix:

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL
 

MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll

O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll ()

[2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll

[2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present

[2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669

FF - prefs.js..extensions.enabledItems: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1

[2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong

:Commands

[purity]

[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
Klick auf http://larusso.trojaner-board.de/Images/otlfix2.jpg.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Hier das gewünschte Logfile:

11222010_200752.log

Code:

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\bootyi64:C:\WINDOWS\system32\charonce.dll deleted successfully.

C:\WINDOWS\system32\charonce.dll moved successfully.

File C:\WINDOWS\System32\charonce.dll not found.

C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Infodelivery\ deleted successfully.

C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669 folder moved successfully.

Prefs.js: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1 removed from extensions.enabledItems

C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong\Data folder moved successfully.

C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 0 bytes

 

User: Gast2

->Temp folder emptied: 3472199 bytes

->Temporary Internet Files folder emptied: 132579032 bytes

->Java cache emptied: 4450 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 5811 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 13577862 bytes

->Flash cache emptied: 893 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 7570434 bytes

->Flash cache emptied: 803 bytes

 

User: Sphirex

->Temp folder emptied: 489918 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 2748330 bytes

->Flash cache emptied: 456 bytes

 

%systemdrive% .tmp files removed: 285013466 bytes

%systemroot% .tmp files removed: 2503692 bytes

%systemroot%\System32 .tmp files removed: 2951 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 1502673 bytes

RecycleBin emptied: 6159622 bytes

 

Total Files Cleaned = 435,00 mb

 

 

OTL by OldTimer - Version 3.2.17.3 log created on 11222010_200752
 

Files\Folders moved on Reboot...

File\Folder C:\WINDOWS\temp\Perflib_Perfdata_668.dat not found!
 

Registry entries deleted on Reboot...

Gib mir bitte einen Zwischenbericht.

Gerne, also von den oben genannten Viren meldet mir mein Antivir nur noch 2, wie gehabt bereits beim Start, hierbei handelt es sich weiterhin um

TR/Spy.51302422 in der winlogo.exe
TR/Spy.10368008 in der explorer.exe

diese meldet er mir aber jemals 2x, sie haben definitiv den selben Namen und sind, laut Antivir, in der selben Datei. Ansonsten ist mir nur aufgefallen das sich mein Firefox von der Optik her verändert hat. Nichts besonderes hatte da nur ne Spielerei zur WM drin.

Gelegentlich beim booten fehlte mir die untere Windowsleiste, dies passiert nun nicht mehr. OTL lief beim letzten Fix ohne Probleme.

Ich hoffe das ist ein brauchbarer Bericht und das du mit Zwischenbericht nicht weitere logfiles meintest, sonst steh ich ziemlich dumm da! =)

Nein ich meinte genau solch einen Bericht ;)

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Sieht sehr gut aus, daher schonmal ein Danke! Antivir meldete bisher nichts! =)

Hier noch das logfile:

log

Code:

ComboFix 10-11-20.05 - Sphirex 22.11.2010  22:05:45.1.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.894.389 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Sphirex\Desktop\Combo-Fix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\All Users\Dokumente\Server\admin.txt

c:\dokumente und einstellungen\All Users\Dokumente\Server\server.dat

c:\dokumente und einstellungen\Gast2\Anwendungsdaten\PriceGong

c:\dokumente und einstellungen\Gast2\Anwendungsdaten\PriceGong\Data\mru.xml

c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}

c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\chrome.manifest

c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\chrome\content\_cfg.js

c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\chrome\content\overlay.xul

c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\install.rdf

c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}

c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\chrome.manifest

c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\chrome\content\_cfg.js

c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\chrome\content\overlay.xul

c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\install.rdf
 

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt 
 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt 
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-22 bis 2010-11-22  ))))))))))))))))))))))))))))))

.
 

2010-11-22 16:07 . 2010-11-22 16:07    --------    d-----w-    C:\_OTL

2010-11-22 15:57 . 2010-11-22 15:57    --------    d-----w-    c:\windows\system32\LogFiles

2010-11-22 15:56 . 2010-11-22 15:55    472808    ----a-w-    c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

2010-11-22 15:56 . 2010-11-22 15:55    472808    ----a-w-    c:\windows\system32\deployJava1.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-22 15:55 . 2010-03-05 11:23    73728    ----a-w-    c:\windows\system32\javacpl.cpl

2010-10-16 08:10 . 2010-10-15 12:14    0    ----a-w-    c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-10-08 2969496]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-16 141608]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-06-09 08:06    976832    ----a-w-    c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-12-22 00:57    35760    ----a-w-    c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 17:43    69632    ----a-w-    c:\windows\Alcmtr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

2006-01-02 16:41    45056    ----a-w-    c:\programme\ATI Technologies\ATI.ACE\CLI.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

2009-03-02 11:08    209153    ----a-w-    c:\programme\Avira\AntiVir Desktop\avgnt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2010-07-16 05:41    141608    ----a-w-    c:\programme\iTunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-03-18 20:16    421888    ----a-w-    c:\programme\QuickTime\QTTask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2006-04-17 14:34    16143872    ----a-w-    c:\windows\RTHDCPL.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]

2006-01-20 11:34    544768    ----a-w-    c:\windows\sm56hlpr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 10:44    248552    ----a-w-    c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Dokumente und Einstellungen\\Sphirex\\Lokale Einstellungen\\Anwendungsdaten\\Kamuse\\KCSTrayDownloader\\KCSTrayDownloaderEngine.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"57835:TCP"= 57835:TCP:Pando Media Booster

"57835:UDP"= 57835:UDP:Pando Media Booster

"1119:TCP"= 1119:TCP:Akamai NetSession Interface

"5000:UDP"= 5000:UDP:Akamai NetSession Interface
 

R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27.02.2006 15:00 34880]

R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20.02.2006 16:01 29056]

R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [04.08.2004 13:00 14336]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.02.2010 20:31 108289]

S3 11b2d3f572337f44;11b2d3f572337f44;\??\c:\windows\TEMP\7960c1d0b5bf --> c:\windows\TEMP\7960c1d0b5bf [?]

S3 1ac5fb4e9cd43414;1ac5fb4e9cd43414;\??\c:\windows\TEMP\79606099335 --> c:\windows\TEMP\79606099335 [?]

S3 1c828f53abd14cff;1c828f53abd14cff;\??\c:\windows\TEMP\78808698bb22 --> c:\windows\TEMP\78808698bb22 [?]

S3 1d0dce389fd8f96a;1d0dce389fd8f96a;\??\c:\windows\TEMP\79603fb1a415 --> c:\windows\TEMP\79603fb1a415 [?]

S3 2822679e01e7ff95;2822679e01e7ff95;\??\c:\windows\TEMP\78808ad35256 --> c:\windows\TEMP\78808ad35256 [?]

S3 2c4e8fb70f3822ed;2c4e8fb70f3822ed;\??\c:\windows\TEMP\7920a5ccf144 --> c:\windows\TEMP\7920a5ccf144 [?]

S3 2e2af4be3b188899;2e2af4be3b188899;\??\c:\windows\TEMP\7880194e135 --> c:\windows\TEMP\7880194e135 [?]

S3 3f5afb82796e75b1;3f5afb82796e75b1;\??\c:\windows\TEMP\7960f5839e60 --> c:\windows\TEMP\7960f5839e60 [?]

S3 45f271c300cce432;45f271c300cce432;\??\c:\windows\TEMP\8000b20e956b --> c:\windows\TEMP\8000b20e956b [?]

S3 4b42c1f1b7f8cb44;4b42c1f1b7f8cb44;\??\c:\windows\TEMP\7880ae831fba --> c:\windows\TEMP\7880ae831fba [?]

S3 6043a0a029271876;6043a0a029271876;\??\c:\windows\TEMP\788088a4337e --> c:\windows\TEMP\788088a4337e [?]

S3 6b43baa971c633ed;6b43baa971c633ed;\??\c:\windows\TEMP\796085b81c03 --> c:\windows\TEMP\796085b81c03 [?]

S3 81f9f4291525978d;81f9f4291525978d;\??\c:\windows\TEMP\8240cb72d24b --> c:\windows\TEMP\8240cb72d24b [?]

S3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\system32\drivers\cm108.sys [25.02.2010 21:11 1294336]

S3 f727aa1268385c2a;f727aa1268385c2a;\??\c:\windows\TEMP\78802270e804 --> c:\windows\TEMP\78802270e804 [?]

S3 vtany;vtany;\??\c:\windows\vtany.sys --> c:\windows\vtany.sys [?]

S3 xhunter1;xhunter1;\??\c:\windows\xhunter1.sys --> c:\windows\xhunter1.sys [?]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Akamai    REG_MULTI_SZ       Akamai

.

Inhalt des "geplante Tasks" Ordners
 

2010-11-22 c:\windows\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uInternet Settings,ProxyOverride = *.local

IE: Suche - hxxp://edits.myway.com/menusearch.jhtml?s=100000379&p=YI&si=&a=9306CC2F-1DF4-44F7-9E3E-34BC07395E94&n=2010081211

IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe

FF - ProfilePath - c:\dokumente und einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\

FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

MSConfigStartUp-CM108Sound - CM108.cpl

MSConfigStartUp-SearchSettings - c:\programme\pdfforge Toolbar\SearchSettings.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-11-22 22:14

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\11b2d3f572337f44]

"ImagePath"="\??\c:\windows\TEMP\7960c1d0b5bf"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1ac5fb4e9cd43414]

"ImagePath"="\??\c:\windows\TEMP\79606099335"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1c828f53abd14cff]

"ImagePath"="\??\c:\windows\TEMP\78808698bb22"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1d0dce389fd8f96a]

"ImagePath"="\??\c:\windows\TEMP\79603fb1a415"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2822679e01e7ff95]

"ImagePath"="\??\c:\windows\TEMP\78808ad35256"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2c4e8fb70f3822ed]

"ImagePath"="\??\c:\windows\TEMP\7920a5ccf144"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2e2af4be3b188899]

"ImagePath"="\??\c:\windows\TEMP\7880194e135"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\3f5afb82796e75b1]

"ImagePath"="\??\c:\windows\TEMP\7960f5839e60"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\45f271c300cce432]

"ImagePath"="\??\c:\windows\TEMP\8000b20e956b"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\4b42c1f1b7f8cb44]

"ImagePath"="\??\c:\windows\TEMP\7880ae831fba"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6043a0a029271876]

"ImagePath"="\??\c:\windows\TEMP\788088a4337e"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6b43baa971c633ed]

"ImagePath"="\??\c:\windows\TEMP\796085b81c03"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\81f9f4291525978d]

"ImagePath"="\??\c:\windows\TEMP\8240cb72d24b"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f727aa1268385c2a]

"ImagePath"="\??\c:\windows\TEMP\78802270e804"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(728)

c:\windows\system32\Ati2evxx.dll
 

- - - - - - - > 'explorer.exe'(3492)

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\o2flash.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\wscntfy.exe

c:\programme\iPod\bin\iPodService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-11-22  22:19:27 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-11-22 21:19
 

Vor Suchlauf: 11 Verzeichnis(se), 50.690.060.288 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 50.648.260.608 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer
 

- - End Of File - - 1FBA9FFEED5C3F5D3DAB2FFB13C3BDB3

Schritt 1

Combofix mit Skript laufen lassen

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!
Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code:

File:: c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin Folder:: c:\windows\TEMP\78802270e804 c:\windows\TEMP\7960c1d0b5bf c:\windows\TEMP\79606099335 c:\windows\TEMP\78808698bb22 c:\windows\TEMP\79603fb1a415 c:\windows\TEMP\79603fb1a415 c:\windows\TEMP\78808ad35256 c:\windows\TEMP\7920a5ccf144 c:\windows\TEMP\7880194e135 c:\windows\TEMP\7960f5839e60 c:\windows\TEMP\8000b20e956b c:\windows\TEMP\7880ae831fba c:\windows\TEMP\788088a4337e c:\windows\TEMP\796085b81c03 c:\windows\TEMP\8240cb72d24b Driver:: 78802270e804 7960c1d0b5bf 79606099335 78808698bb22 79603fb1a415 79603fb1a415 78808ad35256 7920a5ccf144 7880194e135 7960f5839e60 8000b20e956b 7880ae831fba 788088a4337e 796085b81c03 8240cb72d24b Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\11b2d3f572337f44] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1ac5fb4e9cd43414] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1c828f53abd14cff] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1d0dce389fd8f96a] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2822679e01e7ff95] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2c4e8fb70f3822ed] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2e2af4be3b188899] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\3f5afb82796e75b1] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\45f271c300cce432] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\4b42c1f1b7f8cb44] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6043a0a029271876] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6b43baa971c633ed] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\81f9f4291525978d] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f727aa1268385c2a]
Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.
http://i94.photobucket.com/albums/l8...Script_ani.gif
.
In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Danke das du dir um die Uhrzeit noch die Mühe gibts mir zu helfen. =)
Sind wir schon auf der Zielgeraden? Antivir ist so ruhig, so ungewohnt, fast schon beängstigend!

Combo-Fix + CFScript.txt log

Code:

ComboFix 10-11-22.05 - Sphirex 23.11.2010   7:29.2.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.894.388 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Sphirex\Desktop\Combo-Fix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sphirex\Desktop\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
 

FILE ::

"c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin"

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-23 bis 2010-11-23  ))))))))))))))))))))))))))))))

.
 

2010-11-22 16:07 . 2010-11-22 16:07    --------    d-----w-    C:\_OTL

2010-11-22 15:57 . 2010-11-22 15:57    --------    d-----w-    c:\windows\system32\LogFiles

2010-11-22 15:56 . 2010-11-22 15:55    472808    ----a-w-    c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

2010-11-22 15:56 . 2010-11-22 15:55    472808    ----a-w-    c:\windows\system32\deployJava1.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-22 15:55 . 2010-03-05 11:23    73728    ----a-w-    c:\windows\system32\javacpl.cpl

.
 

(((((((((((((((((((((((((((((   SnapShot@2010-11-22_21.14.30   )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-11-23 06:21 . 2010-11-23 06:21    16384              c:\windows\Temp\Perflib_Perfdata_6b4.dat

+ 2010-11-23 06:21 . 2010-11-23 06:21    16384              c:\windows\Temp\Perflib_Perfdata_658.dat

- 2010-11-22 21:13 . 2010-11-22 21:13    16384              c:\windows\Temp\Perflib_Perfdata_658.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-10-08 2969496]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-16 141608]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-06-09 08:06    976832    ----a-w-    c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-12-22 00:57    35760    ----a-w-    c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 17:43    69632    ----a-w-    c:\windows\Alcmtr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

2006-01-02 16:41    45056    ----a-w-    c:\programme\ATI Technologies\ATI.ACE\CLI.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

2009-03-02 11:08    209153    ----a-w-    c:\programme\Avira\AntiVir Desktop\avgnt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2010-07-16 05:41    141608    ----a-w-    c:\programme\iTunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-03-18 20:16    421888    ----a-w-    c:\programme\QuickTime\QTTask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2006-04-17 14:34    16143872    ----a-w-    c:\windows\RTHDCPL.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]

2006-01-20 11:34    544768    ----a-w-    c:\windows\sm56hlpr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 10:44    248552    ----a-w-    c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Dokumente und Einstellungen\\Sphirex\\Lokale Einstellungen\\Anwendungsdaten\\Kamuse\\KCSTrayDownloader\\KCSTrayDownloaderEngine.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"57835:TCP"= 57835:TCP:Pando Media Booster

"57835:UDP"= 57835:UDP:Pando Media Booster

"1082:TCP"= 1082:TCP:Akamai NetSession Interface

"5000:UDP"= 5000:UDP:Akamai NetSession Interface
 

R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27.02.2006 15:00 34880]

R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20.02.2006 16:01 29056]

R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [04.08.2004 13:00 14336]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.02.2010 20:31 108289]

S3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\system32\drivers\cm108.sys [25.02.2010 21:11 1294336]

S3 vtany;vtany;\??\c:\windows\vtany.sys --> c:\windows\vtany.sys [?]

S3 xhunter1;xhunter1;\??\c:\windows\xhunter1.sys --> c:\windows\xhunter1.sys [?]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Akamai    REG_MULTI_SZ       Akamai

.

Inhalt des "geplante Tasks" Ordners
 

2010-11-23 c:\windows\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uInternet Settings,ProxyOverride = *.local

IE: Suche - hxxp://edits.myway.com/menusearch.jhtml?s=100000379&p=YI&si=&a=9306CC2F-1DF4-44F7-9E3E-34BC07395E94&n=2010081211

IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe

FF - ProfilePath - c:\dokumente und einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\

FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-11-23 07:39

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(728)

c:\windows\system32\Ati2evxx.dll

.

Zeit der Fertigstellung: 2010-11-23  07:46:09

ComboFix-quarantined-files.txt  2010-11-23 06:46

ComboFix2.txt  2010-11-22 21:19
 

Vor Suchlauf: 11 Verzeichnis(se), 50.635.784.192 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 50.624.905.216 Bytes frei
 

- - End Of File - - 4F462420293C4F229259E5C366920124

Ja auf der Zielgeraden aber noch nicht am Ziel :)

Schritt 1

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.

Schritt 2

Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
Java muss installiert, aktiv und erlaubt sein.
Bebilderte Anleitung von sundavis.
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.

Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
Die Datenschutzerklärung akzeptieren.
Programm installieren lassen.
Update der Signaturen installieren lassen.
Wenn der Status "Complete" ist,
Scan-Einstellungen (Settings) Standard lassen
Links den Link "My Computer" anklicken.
Scan beginnt automatisch.
Wenn der Scan fertig ist, auf "View scan report" klicken,
"Save report as" und Dateityp auf .txt umstellen,
und auf dem Desktop als Kaspersky.txt speichern.
Logdatei hier posten.
Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ESET Online Scanner hängte sich vermutlich auf, infos dazu im Log, habe nach einer Stunde abgebrochen. Kaspersky ladete knapp 2 Stunden die aktuelle Database um mir dann zu sagen das die Lizenz ungültig sei, zudem folgende Meldung:

Code:

Update has failed The program could not be started. Please close the window of Kaspersky Online Scanner 7.0 and start the program again from the web site of Kaspersky Lab.
 

Successful updating of Kaspersky Online Scanner 7.0 and scanning of your computer requires uninterrupted Internet connection. Please make sure that the Internet connection is established. [ERROR: Anti-virus database was updated after license expiry]

ESET log

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=ba3b70ecf36cc44ebfa2e72f67857007

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-11-23 01:17:03

# local_time=2010-11-23 02:17:03 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=1797 16775141 100 94 3735 66030720 0 0

# compatibility_mode=8192 67108863 100 0 3837 3837 0 0

# scanned=17276

# found=0

# cleaned=0

# scan_time=2812