2 Plagegeister: TR/Kazy.5461.146 und TR/ATRAPS.Gen2
 

Die im Betreff genannten Trojaner TR/Kazy.5461.146 und TR/ATRAPS.Gen2 werden permanent von Avira angezeigt, aber nicht gelöscht oder in die Quarantäne verschoben etc. Nichts der Auswahlmöglichkeiten bringt etwas. Hier sind meine Logfiles: Ich hoffe richtig so.. Schon mal vielen Dank!!

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5545

Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106

19.01.2011 16:15:33
mbam-log-2011-01-19 (16-15-33).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 128035
Laufzeit: 5 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:16 on 19/01/2011 (Frisch)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

GMER Logfile:
--- --- ---


Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

366,00 Mb Total Physical Memory | 127,00 Mb Available Physical Memory | 35,00% Memory free
890,00 Mb Paging File | 663,00 Mb Available in Paging File | 74,00% Paging File free
Paging file location(s): C:\pagefile.sys 552 1104 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 27,93 Gb Total Space | 17,91 Gb Free Space | 64,14% Space Free | Partition Type: FAT32
Drive E: | 1,87 Gb Total Space | 1,34 Gb Free Space | 71,58% Space Free | Partition Type: FAT

Computer Name: ***| User Name: ***| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011.01.19 15:56:40 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Frisch\Desktop\MFTools\OTL.exe
PRC - [2009.07.21 13:34:30 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 15:48:20 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 12:08:44 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.04.08 17:49:18 | 000,671,796 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
PRC - [2007.07.26 16:55:16 | 000,483,393 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
PRC - [2007.01.09 17:16:12 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
PRC - [2006.12.28 00:02:00 | 001,454,080 | R--- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanGUI.exe
PRC - [2006.12.28 00:02:00 | 000,356,352 | R--- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanNetService.exe
PRC - [2002.11.08 11:50:00 | 000,019,968 | ---- | M] (Logitech Inc.) -- C:\WINDOWS\LOGI_MWX.EXE
PRC - [2002.08.29 13:00:00 | 001,007,104 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2002.05.20 20:21:28 | 000,090,112 | ---- | M] (MUSICMATCH, Inc.) -- C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe


========== Modules (SafeList) ==========

MOD - [2011.01.19 15:56:40 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\MFTools\OTL.exe
MOD - [2006.08.25 17:51:52 | 000,925,184 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1891_x-ww_7d3bbc01\comctl32.dll


========== Win32 Services (SafeList) ==========

SRV - File not found [Auto | Stopped] -- -- (WksPatch)
SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2009.07.21 13:34:30 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 15:48:20 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2007.01.09 17:16:12 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe -- (MZCCntrl)
SRV - [2006.12.28 00:02:00 | 000,356,352 | R--- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)


========== Driver Services (SafeList) ==========

DRV - [2009.05.11 09:12:22 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 09:33:04 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 11:29:08 | 000,022,360 | ---- | M] (Avira GmbH) [File_System | Boot | Running] -- C:\WINDOWS\SYSTEM32\DRIVERS\avgntmgr.sys -- (avgntmgr)
DRV - [2009.02.13 11:17:50 | 000,045,416 | ---- | M] (Avira GmbH) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\avgntdd.sys -- (avgntdd)
DRV - [2006.12.28 00:02:00 | 000,265,088 | R--- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2006.12.28 00:02:00 | 000,004,352 | R--- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2006.10.09 15:03:56 | 000,017,152 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MIINPazx.sys -- (MIINPazX)
DRV - [2006.10.09 13:46:44 | 000,017,536 | ---- | M] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\MTOnlPktAlyx.sys -- (MTOnlPktAlyX)
DRV - [2006.10.04 09:14:26 | 000,017,280 | ---- | M] (Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys -- (MACNDIS5)
DRV - [2004.10.15 12:50:20 | 000,015,295 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrScnUsb.sys -- (BrScnUsb)
DRV - [2003.04.08 17:52:54 | 000,028,164 | ---- | M] (MusicMatch, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\MxlW2k.sys -- (MxlW2k)
DRV - [2003.02.13 11:19:40 | 000,006,896 | ---- | M] (Compal Electronic Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hkdrv.sys -- (EPOWER)
DRV - [2002.12.30 12:20:14 | 000,030,775 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wa301a.sys -- ({E2B953A6-195A-44F9-9BA3-3D5F4E32BB55})
DRV - [2002.12.18 19:56:34 | 000,005,888 | ---- | M] (COMPAL ELECTRONIC INC.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSIOMngr.sys -- (SrvcSSIOMngr)
DRV - [2002.12.18 19:56:32 | 000,005,888 | ---- | M] (COMPAL ELECTRONIC INC.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\EPIOMngr.sys -- (SrvcEPIOMngr)
DRV - [2002.12.18 19:56:32 | 000,005,888 | ---- | M] (COMPAL ELECTRONIC INC.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\EKIOMngr.sys -- (SrvcEKIOMngr)
DRV - [2002.11.15 04:15:00 | 000,012,640 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\itchfltr.sys -- (itchfltr)
DRV - [2002.11.08 11:50:00 | 000,070,238 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LMouFlt2.Sys -- (LMouFlt2)
DRV - [2002.11.08 11:50:00 | 000,041,420 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidUsb.sys -- (LHidUsb)
DRV - [2002.11.08 11:50:00 | 000,023,838 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidFlt2.Sys -- (LHidFlt2)
DRV - [2002.11.08 11:50:00 | 000,014,156 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LCcfltr.sys -- (LCcfltr)
DRV - [2002.09.17 17:12:38 | 000,809,872 | ---- | M] (LT) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LTSM.sys -- (TOSHIBASoftModem)
DRV - [2002.09.16 18:25:02 | 000,941,516 | ---- | M] (Avance Logic, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Avance AC97 Audio (WDM)
DRV - [2002.08.29 13:00:00 | 000,038,272 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2002.08.28 22:59:26 | 000,154,624 | ---- | M] (Lucent Technologies) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wlluc48.sys -- (wlluc48)
DRV - [2002.07.17 17:45:48 | 000,004,183 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TPIOMngr.sys -- (SrvcTPIOMngr)
DRV - [2002.06.28 16:29:12 | 000,156,672 | ---- | M] (Agere Systems) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wlags48b.sys -- (wlags48b)
DRV - [2002.06.14 03:37:16 | 000,045,568 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\R8139n51.sys -- (rtl8139)
DRV - [2002.05.15 04:49:54 | 000,063,405 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Apfiltr.sys -- (ApfiltrService)
DRV - [2001.10.23 01:00:00 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\avmport.sys -- (AVMPORT)
DRV - [2001.08.17 12:14:44 | 000,441,728 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcmbase.sys -- (fpcmbase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



O1 HOSTS File: ([2002.08.29 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx ()
O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [Logitech Utility] C:\WINDOWS\LOGI_MWX.EXE (Logitech Inc.)
O4 - HKLM..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe (MUSICMATCH, Inc.)
O4 - HKCU..\Run: [lanUserUI] File not found
O4 - HKCU..\Run: [mfcnetPath] File not found
O4 - HKCU..\Run: [mscjm] File not found
O4 - HKCU..\Run: [Quickapisvc] File not found
O4 - HKCU..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
O4 - HKCU..\Run: [Winapiserv] File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data]
O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\Web\related.htm ()
O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\Web\related.htm ()
O15 - HKCU\..Trusted Domains: ([]msn in Arbeitsplatz)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\msdxm.ocx (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003.02.13 08:28:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: AppMgmt - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found

MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe - (Logitech)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Frisch^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe - ()
MsConfig - StartUpReg: Apoint - hkey= - key= - C:\Programme\Apoint2K\Apoint.exe (Alps Electric Co., Ltd.)
MsConfig - StartUpReg: BrMfcWnd - hkey= - key= - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.)
MsConfig - StartUpReg: CeEKEY - hkey= - key= - C:\Programme\TOSHIBA\E-KEY\CeEKey.exe (COMPAL ELECTRONIC INC.)
MsConfig - StartUpReg: CeEPOWER - hkey= - key= - C:\Programme\TOSHIBA\Power Management\CePMTray.exe (COMPAL ELECTRONIC INC.)
MsConfig - StartUpReg: ControlCenter3 - hkey= - key= - C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
MsConfig - StartUpReg: MSMSGS - hkey= - key= - C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)
MsConfig - StartUpReg: NDSTray.exe - hkey= - key= - C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe (TOSHIBA CORPORATION)
MsConfig - StartUpReg: TPNF - hkey= - key= - C:\Programme\TOSHIBA\TouchPad\TPTray.exe (COMPAL ELECTRONIC INC.)
MsConfig - StartUpReg: zBrowser Launcher - hkey= - key= - C:\Programme\Logitech\iTouch\iTouch.exe (Logitech Inc.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2

Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.iac2 - C:\WINDOWS\System32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.WMV3 - C:\WINDOWS\System32\wmv9vcm.dll (Microsoft Corporation)
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16620634377289728)

========== Files/Folders - Created Within 30 Days ==========

[2011.01.19 16:09:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.01.19 16:08:40 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2011.01.19 16:08:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT
[2011.01.19 15:56:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Desktop\MFTools
[2011.01.18 16:26:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\Malwarebytes
[2011.01.18 16:26:07 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.01.18 16:26:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.01.18 16:26:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.01.18 16:26:01 | 000,019,288 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.01.18 16:26:01 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.01.16 13:07:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\59977
[2011.01.11 12:51:12 | 000,000,000 | -HSD | C] -- C:\FOUND.022
[2011.01.11 12:30:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\56631
[2011.01.06 18:19:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.01.06 16:47:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\dbCommsdrv
[2011.01.06 16:46:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\40359
[2011.01.06 09:57:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\8122
[2011.01.06 09:57:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\ClipPathSvcs
[2011.01.06 09:56:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\7815
[2011.01.06 09:44:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\38037
[2011.01.04 18:52:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\1555
[2011.01.04 18:52:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\98957
[2011.01.04 18:52:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\28199
[2011.01.04 18:52:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\88520
[2011.01.04 18:52:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\15324
[2011.01.04 18:51:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\42436
[2011.01.04 18:51:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\29680
[2011.01.04 18:51:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\wmiNet64
[2011.01.04 18:51:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\10493
[2011.01.04 18:50:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\13050
[2011.01.04 10:25:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\odbcEventCtrl
[2011.01.04 10:25:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\36726
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011.01.19 16:28:54 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.01.19 16:28:48 | 384,290,816 | -HS- | M] () -- C:\hiberfil.sys
[2011.01.19 16:16:52 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Frisch\defogger_reenable
[2011.01.19 16:08:42 | 000,000,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\NTREGOPT.lnk
[2011.01.19 16:08:42 | 000,000,476 | ---- | M] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\ERUNT.lnk
[2011.01.19 15:56:36 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\g2m3e4r.exe
[2011.01.19 15:56:34 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\defogger.exe
[2011.01.19 15:45:58 | 000,471,612 | ---- | M] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\Load.exe
[2011.01.18 16:26:10 | 000,000,660 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.01.14 18:02:06 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.01.09 13:31:02 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.01.04 18:54:46 | 000,001,418 | ---- | M] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\Datenträgerbereinigung.lnk
[2010.12.24 15:10:54 | 011,072,201 | ---- | M] () -- C:\Dokumente und Einstellungen\Frisch\Eigene Dateien\Standard_20101224_151031.zip
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:38 | 000,019,288 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.01.19 16:16:51 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Frisch\defogger_reenable
[2011.01.19 16:08:41 | 000,000,495 | ---- | C] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\NTREGOPT.lnk
[2011.01.19 16:08:41 | 000,000,476 | ---- | C] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\ERUNT.lnk
[2011.01.19 15:56:34 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\g2m3e4r.exe
[2011.01.19 15:56:33 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\defogger.exe
[2011.01.19 15:55:52 | 000,471,612 | ---- | C] () -- C:\Dokumente und Einstellungen\Frisch\Desktop\Load.exe
[2011.01.18 16:26:08 | 000,000,660 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.24 15:10:49 | 011,072,201 | ---- | C] () -- C:\Dokumente und Einstellungen\Frisch\Eigene Dateien\Standard_20101224_151031.zip
[2009.08.30 09:46:05 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.02.01 18:48:33 | 000,000,009 | ---- | C] () -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\mdb.bin
[2008.05.13 21:37:12 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2008.05.13 21:37:12 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2008.04.01 15:22:23 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.03.11 18:12:16 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.07.23 15:55:28 | 000,000,130 | ---- | C] () -- C:\WINDOWS\ktel.ini
[2004.07.30 14:43:29 | 000,000,136 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2004.07.30 14:42:59 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL
[2004.04.23 20:10:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\TPTray.INI
[2004.04.15 18:28:50 | 000,000,122 | ---- | C] () -- C:\WINDOWS\HBUser.ini
[2003.05.04 14:21:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\MSDraw.ini
[2003.04.28 12:33:25 | 000,007,264 | ---- | C] () -- C:\WINDOWS\cb.ini
[2003.04.26 19:44:32 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2003.04.08 18:56:31 | 000,013,824 | ---- | C] () -- C:\Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2003.04.08 17:56:09 | 000,000,051 | ---- | C] () -- C:\WINDOWS\iTouch.ini
[2003.04.08 16:58:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\CeEKey.INI
[2003.02.13 11:41:37 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2003.02.13 11:33:24 | 000,006,713 | ---- | C] () -- C:\WINDOWS\Tcds.ini
[2003.02.13 11:32:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI
[2003.02.13 11:26:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\CePMTray.INI
[2003.02.13 11:19:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NDSTray.INI
[2003.02.13 11:16:47 | 000,121,905 | ---- | C] () -- C:\WINDOWS\System32\csellang.ini
[2003.02.13 11:16:47 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\csellang.dll
[2003.02.13 11:16:47 | 000,008,893 | ---- | C] () -- C:\WINDOWS\System32\tosmreg.ini
[2003.02.13 11:16:47 | 000,006,793 | ---- | C] () -- C:\WINDOWS\System32\cseltbl.ini
[2003.02.13 08:32:57 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2003.02.13 08:21:07 | 000,004,325 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2003.02.07 17:33:16 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\CeEKPolicy.dll
[2003.01.15 17:47:50 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\CeEPPolicy.dll
[2003.01.15 17:23:50 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\CeEPDefDat.dll
[2002.07.17 17:45:48 | 000,004,183 | ---- | C] () -- C:\WINDOWS\System32\drivers\TPIOMngr.sys
[1999.01.26 23:00:00 | 000,114,816 | ---- | C] () -- C:\WINDOWS\System32\MSMT4232.DLL
[1980.01.01 00:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[1980.01.01 00:00:00 | 000,000,083 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

========== LOP Check ==========

[2003.04.28 16:38:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2003.02.13 11:25:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\InterTrust
[2003.04.08 16:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\Template
[2003.04.08 16:56:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\InterVideo
[2003.04.28 16:39:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\T-Online
[2004.03.20 17:36:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\MediaOrganizer
[2004.03.20 17:42:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\Media Organizer
[2008.04.01 15:57:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\DeepBurner
[2010.06.27 15:46:40 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\.#
[2011.01.04 10:25:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\36726
[2011.01.04 18:51:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\13050
[2011.01.04 18:51:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\10493
[2011.01.04 18:51:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\29680
[2011.01.04 18:51:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\42436
[2011.01.04 18:52:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\15324
[2011.01.04 18:52:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\88520
[2011.01.04 18:52:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\28199
[2011.01.04 18:52:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\98957
[2011.01.04 18:52:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\1555
[2011.01.06 09:44:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\38037
[2011.01.06 09:56:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\7815
[2011.01.06 09:57:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\8122
[2011.01.06 16:46:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\40359
[2011.01.11 12:30:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\56631
[2011.01.16 13:07:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\59977

========== Purity Check ==========



========== Custom Scans ==========


< %SYSTEMDRIVE%\*.* >
[2003.02.13 15:42:12 | 000,000,127 | -H-- | M] () -- C:\SWSTAMP.TXT
[2003.02.13 08:10:38 | 000,000,512 | -HS- | M] () -- C:\BOOTSECT.DOS
[2002.08.29 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2002.08.29 13:00:00 | 000,235,296 | RHS- | M] () -- C:\ntldr
[2002.08.29 13:00:00 | 000,047,580 | RHS- | M] () -- C:\NTDETECT.COM
[2010.05.17 16:48:26 | 000,000,194 | RHS- | M] () -- C:\boot.ini
[2003.02.13 08:28:32 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2003.02.13 08:28:32 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2003.02.13 08:28:32 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2003.02.13 08:28:32 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2011.01.19 16:28:48 | 384,290,816 | -HS- | M] () -- C:\hiberfil.sys
[2011.01.19 16:28:48 | 578,813,952 | -HS- | M] () -- C:\pagefile.sys
[2010.02.28 13:20:34 | 000,000,228 | ---- | M] () -- C:\TO_InstallLog.txt

< %systemroot%\system32\*.wt >

< %systemroot%\system32\*.ruy >

< %systemroot%\Fonts\*.com >

< %systemroot%\Fonts\*.dll >

< %systemroot%\Fonts\*.ini >
[2003.02.13 08:28:02 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini

< %systemroot%\Fonts\*.ini2 >

< %systemroot%\system32\spool\prtprocs\w32x86\*.* >

< %systemroot%\REPAIR\*.bak1 >

< %systemroot%\REPAIR\*.ini >

< %systemroot%\system32\*.jpg >

< %systemroot%\*.scr >

< %systemroot%\*._sy >

< %APPDATA%\Adobe\Update\*.* >

< %ALLUSERSPROFILE%\Favorites\*.* >

< %APPDATA%\Microsoft\*.* >

< %PROGRAMFILES%\*.* >

< %APPDATA%\Update\*.* >

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >

< %systemroot%\Tasks\*.job /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2003.02.13 08:19:46 | 000,401,408 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
[2003.02.13 08:19:46 | 000,606,208 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2003.02.13 08:19:46 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav

< %systemroot%\system32\user32.dll /md5 >
[2005.03.02 19:21:04 | 000,562,688 | ---- | M] (Microsoft Corporation) MD5=DEF116925E1EA04691EC6362F197451E -- C:\WINDOWS\system32\user32.dll

< %systemroot%\system32\ws2_32.dll /md5 >
[2006.08.16 14:15:04 | 000,070,656 | ---- | M] (Microsoft Corporation) MD5=7A0447FC01FEA8A7BE802D3BC5DA325F -- C:\WINDOWS\system32\ws2_32.dll

< %systemroot%\system32\ws2help.dll /md5 >
[2002.08.29 13:00:00 | 000,018,944 | ---- | M] (Microsoft Corporation) MD5=17ED93B7DA379EE57C481A35E24F2973 -- C:\WINDOWS\system32\ws2help.dll


< MD5 for: EXPLORER.EXE >
[2002.08.29 13:00:00 | 001,007,104 | ---- | M] (Microsoft Corporation) MD5=22B0A56E6C5847292437078B484EC61B -- C:\WINDOWS\explorer.exe
[2002.08.29 13:00:00 | 001,007,104 | ---- | M] (Microsoft Corporation) MD5=22B0A56E6C5847292437078B484EC61B -- C:\WINDOWS\system32\dllcache\explorer.exe
[2004.08.04 09:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\explorer.exe

< MD5 for: WINLOGON.EXE >
[2004.08.04 09:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\SoftwareDistribution\Download\84e71ea11258afcace4e790f6b073745\winlogon.exe
[2002.08.29 13:00:00 | 000,521,728 | ---- | M] (Microsoft Corporation) MD5=616896B708286DA98D6A099293F181D7 -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2002.08.29 13:00:00 | 000,521,728 | ---- | M] (Microsoft Corporation) MD5=616896B708286DA98D6A099293F181D7 -- C:\WINDOWS\system32\winlogon.exe

< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2009-02-04 12:37:46

< End of report >OTL EXTRAS Logfile:
--- --- ---

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Hi und danke erstmal. Ich werd's probieren und poste die Sachen dann. Ist auch gar nicht mein Laptop, sondern von 'ner Dame, der ich ein bisschen PC-Unterricht gebe. Aber alles neu aufsetzen wäre echt ätzend...

So hier sind die logfiles. Ich fürchte es sind mehr als nur die 2 Trojaner...Hülfeee

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{ACB1E670-3217-45C4-A021-6B829A8A27CB} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACB1E670-3217-45C4-A021-6B829A8A27CB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\lanUserUI deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mfcnetPath deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mscjm deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Quickapisvc deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Winapiserv deleted successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\59977 folder moved successfully.
C:\FOUND.022 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\56631 folder moved successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe\Flash Player\AssetCache\8KZJS62U folder moved successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe\Flash Player\AssetCache folder moved successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe\Flash Player folder moved successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\dbCommsdrv folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\40359 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\8122 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\ClipPathSvcs folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\7815 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\38037 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\1555 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\98957 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\28199 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\88520 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\15324 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\42436 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\29680 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\wmiNet64 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\10493 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\13050 folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\odbcEventCtrl folder moved successfully.
C:\Dokumente und Einstellungen\Frisch\Anwendungsdaten\36726 folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Frisch
->Temp folder emptied: 81920 bytes
->Temporary Internet Files folder emptied: 687144 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 62146036 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 60,00 mb


OTL by OldTimer - Version 3.2.20.2 log created on 01192011_201120

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...



ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6419
# api_version=3.0.2
# EOSSerial=faf2e60296cc7b45badef6a556bd78e8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-01-19 09:27:48
# local_time=2011-01-19 10:27:48 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 120358 70980312 113000 0
# compatibility_mode=8192 67108863 100 0 3746 3746 0 0
# scanned=42226
# found=9
# cleaned=0
# scan_time=7464
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265925.exe Win32/VB.AAQC trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265926.exe a variant of Win32/Sefnit.AL trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265927.exe probably a variant of Win32/TrojanClicker.VB.NMH trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265928.exe a variant of Win32/Sefnit.AL trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265929.exe a variant of Win32/Sefnit.AL trojan (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\01192011_201120\C_Dokumente und Einstellungen\Frisch\Anwendungsdaten\13050\pdmn2.exe a variant of Win32/Sefnit.AV trojan (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\01192011_201120\C_Dokumente und Einstellungen\Frisch\Anwendungsdaten\36726\pdmn2.exe a variant of Win32/Sefnit.AO trojan (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\01192011_201120\C_Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\wmiNet64\Quickapisvc.dll a variant of Win32/Sefnit.AV trojan (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\01192011_201120\C_Dokumente und Einstellungen\Frisch\Lokale Einstellungen\Anwendungsdaten\odbcEventCtrl\lanUserUI.dll a variant of Win32/Sefnit.AO trojan (unable to clean) 00000000000000000000000000000000 I

Sieht doch schon super aus :)

Schritt 1

Mach einen Fullscan mit Avira und poste das Log.


Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Wow bist Du schnell :crazy: Da der Avira-Full Scan sicher auch wieder ewig läuft, muss ich morgen weitermachen. Aber ein ganz fettes DANKE schon mal bis hier! Ich mache das morgen alles sofort weiter. Ich werde das nie begreifen, wie man das alles wissen kann, was Ihr hier postet...:confused:

Bis morgen!!

Moin, komischerweise wird nun Avira nicht mehr gestartet beim Systemstart und auch wenn ich es manuell aus Programme starte, erscheint kein Taskleisten-Symbol. Was mag das bedeuten? So hier erstmal der Avira Scan:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 20. Januar 2011 10:39

Es wird nach 2379468 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 1) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KARLA

Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:30
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:42:00
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:39:04
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 09:39:04
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 09:39:06
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 09:39:08
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 09:39:08
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 09:39:08
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 09:39:08
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 09:39:08
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 09:39:08
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 09:39:08
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 09:39:08
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 09:39:08
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 12:18:54
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 12:18:54
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 12:18:56
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 12:18:56
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 16:40:08
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 09:52:04
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 09:52:04
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 12:20:14
VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 08:25:40
VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 08:25:42
VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 10:57:22
VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 10:57:22
VBASE025.VDF : 7.11.1.156 2048 Bytes 17.01.2011 10:57:22
VBASE026.VDF : 7.11.1.157 2048 Bytes 17.01.2011 10:57:22
VBASE027.VDF : 7.11.1.158 2048 Bytes 17.01.2011 10:57:22
VBASE028.VDF : 7.11.1.159 2048 Bytes 17.01.2011 10:57:22
VBASE029.VDF : 7.11.1.160 2048 Bytes 17.01.2011 10:57:22
VBASE030.VDF : 7.11.1.161 2048 Bytes 17.01.2011 10:57:22
VBASE031.VDF : 7.11.1.167 44544 Bytes 18.01.2011 10:57:22
Engineversion : 8.2.4.148
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.08.2010 15:55:16
AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 09.01.2011 12:20:22
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 16:22:36
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 16:22:48
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 09:57:30
AEPACK.DLL : 8.2.4.7 512375 Bytes 04.01.2011 09:52:08
AEOFFICE.DLL : 8.1.1.15 205178 Bytes 18.01.2011 10:57:28
AEHEUR.DLL : 8.1.2.66 3166582 Bytes 18.01.2011 10:57:26
AEHELP.DLL : 8.1.16.0 246136 Bytes 04.12.2010 10:52:30
AEGEN.DLL : 8.1.5.1 397683 Bytes 09.01.2011 12:20:18
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 16:21:56
AECORE.DLL : 8.1.19.0 196984 Bytes 04.12.2010 10:52:28
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 18:16:36
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:58
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:14:00
AVREP.DLL : 8.0.0.7 159784 Bytes 19.02.2010 14:45:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:38
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:22
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:18
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: aus
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 20. Januar 2011 10:39

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '31347' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWLaMaS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToWLaAcF.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '48' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265926.exe
[0] Archivtyp: NSIS
--> ProgramFilesDir/mciNethid.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265927.exe
[FUND] Ist das Trojanische Pferd TR/Vilsel.axas
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265928.exe
[0] Archivtyp: NSIS
--> ProgramFilesDir/mciNethid.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265929.exe
[0] Archivtyp: NSIS
--> ProgramFilesDir/AppleCommonClock.dll
[FUND] Ist das Trojanische Pferd TR/Kazy.5461.146
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265930.exe
[FUND] Ist das Trojanische Pferd TR/Vilsel.axas

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265926.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d6a0a67.qua' verschoben!
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265927.exe
[FUND] Ist das Trojanische Pferd TR/Vilsel.axas
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f18c8f0.qua' verschoben!
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265928.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f05a128.qua' verschoben!
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265929.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f1ab960.qua' verschoben!
C:\System Volume Information\_restore{2D2ACF3B-09A4-43A9-B620-F9ADB2F79403}\RP1338\A0265930.exe
[FUND] Ist das Trojanische Pferd TR/Vilsel.axas
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f1bb0b8.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 20. Januar 2011 11:11
Benötigte Zeit: 27:30 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3168 Verzeichnisse wurden überprüft
220574 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
220567 Dateien ohne Befall
7047 Archive wurden durchsucht
2 Warnungen
7 Hinweise
31347 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Und hier die logs vom OTL:OTL Logfile:
--- --- ---


Es gibt keinen neuen Extra.txt. In dem MFT Tools-Ordner ist nur der von gestern. Wieso das? Ich poste ihn trotzdem nochmal:OTL Logfile:
--- --- ---

Sorry ich habe erst viel zu spät bemerkt dass Du SP1 hast. Das ist soooo alt dass es überhaupt keinen Sinn mehr macht hier weiter zu bereinigen. Hier hilft nur eine Neuinstallation des Systems. Wieso hast du nur XP SP1????

Keine Ahnung, ist nicht mein Laptop. Der ist von älteren Leuten. Das heißt ich kann nix mehr machen oder wie? Gibt's doch nicht. Gar keinen Tip mehr?

Es bringt nichts. SP1 ist älter als Alt. Dabei gibt es soo viel Lücken welche eine Bereinigung sinnlos machen.

Na aber die kann ich doch dann mit SP2 schließen die Lücken oder nicht? Die haben 100e Dateien auf dem Teil. Ich KANN den nicht formatieren. :daumenrunter:

Kannst Du mir noch sagen, ob ich noch irgendwas wieder rückgängig machen muss? Kann ich die ganzen Toosl wieder runterschmeißen? Ach ja und wie krieg ich den AVIRA wieder gestartet automatisch?

Es ist Dir überlassen. Ich wollte Dich nur warnen dass das nicht optimal ist. Dann mach bitte folgendes:


Installiere Dir das SP1a:
Downloaddetails: Windows*XP Service*Pack*1a Schnellinstallation (32-Bit) für Endbenutzer

Wichtig: Nicht direkt das SP2 oder 3!!

Nach der Installation mach folgendes:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Ich probier's! DANKE DIR!!!

;) Bitte :)

Ich bin jetzt am anderen PC. Ich fürchte das Combo-Fix bzw. der Rechner hat sich aufgehangen. Ich habe das blaue AutoScan-Fenster, es lief dann auch los, aber kurz danach merkte man dass nichts mehr passiert. Festplatte arbeitet nicht. Ich habe kurz die Maus bewegt und die ist nun auch eingefroren. Was mach ich jetzt? Ach so, zu Beginn hat ComboFix die Wiedeherstellungskonsole runtergeladen, das ging aber problemlos. Dann fing der Scan an und that's it....

EDIT: Hab neu gestartet und es nochmal loslaufen lassen und es passiert das gleiche. Der Scan stoppt, allerdings hat sich nicht der Rechenr wieder aufgehangen. Und nu??

Hast Du SP1a installiert?

Ja klar. Mach doch alles, wie Du es sagst ;-) Ich hab jetzt nach einem erneuten Neustart den Avira nochmal neu laufen lassen und komischer Weise hat er nichts mehr gefunden!?!? Beim Windows-Start kommt jetzt aber kurz ein schwarzer Bilschirm, mit Auswahlmöglichkeiten, wie ich booten will. Das ist aber nur so kurz da, dass ich es kaum lesen kann, Es steht irgendwas von Debugger oder so da und dann startet aber XP normal.

Nach wie vor erscheint der AVIRA nicht mehr unten per Tray Icon. Wenn ich ihn manuell öffne auch nicht, aber es steht in der Übersicht, dass der Guard aktiv ist. Hab schon gedacht ob ich es runterschmeiß und die neueste Version neu installiere oder macht das keinen Sinn?

Das ist normal. Dabei geht es um die Auswahl der Wiederherstellungskonsole.

Schritt 1

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Den ESET Scanner hab ich gestern aber schon laufen lassen, gell? Ich glaub der ist fast 3 Stunden gelaufen. Kann das sein? Hab ja so viel gemacht gestern. Dann schaff ich das heute auch nicht mehr - shit. Muss der definitiv nochmal laufen?

Sorry ich meinte eigentlich:

• Panda
• Panda (ohne Registrierung)
  • Unterstützte Betriebssysteme: Windows 2000/XP (32- und 64-Bit)/Vista (32 und 64-Bit)
  • Voraussetzung: Internet Explorer 5.01 oder höher
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Du musst Dich registrieren - Newsletter abhaken!
  • Kompletter Scan anhaken und auf den grünen Button "Jetzt scannen" klicken.
    • Bei Nutzung über Mozilla Firefox:
    • ActiveScan 2.0 heruntergeladen.
    • ActiveScan 2.0 installieren.
    • Scan starten.
    • Bei Nutzung über Internet Explorer:
    • ActiveX-Steuerelemente erlauben.
    • ActiveX-Steuerelement installieren lassen,
    • die Signaturen werden heruntergeladen, ebenfalls installieren lassen.
    • Der Scan startet automatisch.
  • Am Ende des Scans die Funde über den Link "Anzeigen" einblenden lassen, kopieren und hier posten.
  • Das ist wichtig, denn Panda entfernt die Funde nur in der kostenpflichtigen Version.
  • Der Helfer vom Forum wird Dir helfen, die Funde zu entfernen.
  • 
    http://www.hijackthis-forum.de/attac...5&d=1211975179
  • Im Fall von Problemen bitte zunächst die FAQ lesen.
  • Deinstallation:
  • Das Programm wird nach C:\Programme\PandaSecurity\ActiveScan 2.0 installiert.
  • Das Programm über Systemsteuerung => Software (Panda ActiveScan) deinstallieren.

Und den Schritt zwei von eben mit dem OTL-Eintrag? Soll ich den auch machen oder hat sich das erstmal erledigt? Weißt Du wie lange der PAnda läuft?

Ja der natürlich auch.

Panda läuft auch lange.

Oh man ich flipp hier noch aus. Der Panda startet nicht, es kommt:

Möglicherweise ist auf Ihrem Computer ein Betriebssystem installiert, das nicht mit ActiveScan 2.0 kompatibel ist. ActiveScan 2.0 funktioniert nur unter Windows-Betriebssystemen.

Was dat denn fürn Käse?

Genau das mein ich. Weil Du so ein altes Teil hast!! Dann mach mal den OTL Scan.

OTL Logfile:
--- --- ---


Es gibt keinen Extra.txt

Schritt 1

Windows Update

Dein Windows und der Internet-Explorer sind nicht auf dem neuesten Stand. Besuche die Windows-Update Seite und lasse alle wichtigen Updates installieren, die Dir über die benutzerdefinierte Suche angeboten werden.

Auch wenn Du den Internet Explorer nicht als Hauptbrowser nutzt, empfehle ich Dir, den Internet Explorer 8 zu installieren. Browser sicher konfigurieren: IE 6 - IE 7.

Schritt 2

Programme updaten

Du verwendest zum Teil veraltete Software, die Sicherheitslücken auf deinem System bildet, durch die Malware eindringen kann. Alle Software, die du auf deinem Rechner hast, muss regelmäßig geupdatet werden, auch dann, wenn du sie nicht verwendest. Eine einfache Möglichkeit, diese Software Updates zu überwachen, bietet der Secunia Inspektor.

Also das ist echt merkwürdig. Wenn ich auf die Windows Update-Seite komme, sagt er ich bräuchte IE 5 oder höher. Es ist doch IE 6 drauf. Wenn ich was runterladen will, kommt die Meldung "Die Sicherheitseinstellunge erlauben den Datei-Download nicht"? Was ist das denn wohl? Das war gestern auch schon mal. Ich hab jetzt per normalem Windows Update erstmal auf SP2 upgedatet und werde wohl manuell den IE 8 installieren. Mal gucken, ob damit weitere Windows Updates gehen. Dann würde ich auch lieber den AVG nehmen als den Avira oder was meinst du?

Update direkt auf SP3. Avira oder AVG, das spielt keine Rolle.

Hi Swiss,

hab alles auf den neuesten Stand gebracht, nochmal gescannt mit dem 2011er AVG und ich hoffe, das war's. Zumindest wurde nichts mehr gefunden.. Danke Dir für Deine super Hilfe!!!!

Muss ich die tools wie Combo-Fix etc. alle wieder deinstallieren oder reicht vom Desktop löschen? In der Software werden die ja gar nicht angezeigt.

Schritt 1

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Schritt 2

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.