Trojaner-Board - Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet. (https://www.trojaner-board.de/95693-internetexplorer-oeffnet-ungefragt-trojaner-vermutet.html)

Internetexplorer öffnet sich ungefragt, Trojaner wird vermutet.

Hallo,
ich habe ein Problem. Seit zwei Tagen öffnet sich der Internetexplorer automatisch und ich bin hilflos. Bitte helft mir!

Gruß Stabilo!

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

netsvcs

drivers32 /all

%SYSTEMDRIVE%\*.*

%systemroot%\system32\*.wt

%systemroot%\system32\*.ruy

%systemroot%\Fonts\*.com

%systemroot%\Fonts\*.dll

%systemroot%\Fonts\*.ini

%systemroot%\Fonts\*.ini2

%systemroot%\system32\spool\prtprocs\w32x86\*.*

%systemroot%\REPAIR\*.bak1

%systemroot%\REPAIR\*.ini

%systemroot%\system32\*.jpg

%systemroot%\*.scr

%systemroot%\*._sy

%APPDATA%\Adobe\Update\*.*

%ALLUSERSPROFILE%\Favorites\*.*

%APPDATA%\Microsoft\*.*

%PROGRAMFILES%\*.*

%APPDATA%\Update\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\ws2help.dll /md5

/md5start

explorer.exe

winlogon.exe

wininit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Gmer startet automatisch einen ersten Scan.
Sollte sich ein Fenster mit folgender Warnung öffnen:

Code:

WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system?
Unbedingt auf "No" klicken,
in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

.
Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
Wenn der Scan fertig ist, bleibt die Zeile leer.
Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Hallo, Vielen Dank für die Antwort.

Hier der Text aus der OTL.txt

Code:

OTL logfile created on: 14.02.2011 21:39:17 - Run 1

OTL by OldTimer - Version 3.2.20.6     Folder = C:\Users\Heike\Downloads

 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7600.16385)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 79,00% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 232,79 Gb Total Space | 184,48 Gb Free Space | 79,25% Space Free | Partition Type: NTFS

 

Computer Name: HEIKE-PC | User Name: Heike | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2011.02.14 21:38:33 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Users\Heike\Downloads\OTL.exe

PRC - [2010.12.22 17:52:24 | 001,496,528 | ---- | M] (TrueCrypt Foundation) -- C:\Programme\TrueCrypt\TrueCrypt.exe

PRC - [2010.12.13 08:39:27 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe

PRC - [2010.12.13 08:39:19 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe

PRC - [2010.12.13 08:39:19 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe

PRC - [2010.05.21 00:52:06 | 011,312,128 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin

PRC - [2010.05.21 00:52:04 | 011,318,784 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe

PRC - [2010.02.18 11:43:20 | 000,490,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Common Files\Java\Java Update\jucheck.exe

PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe

PRC - [2009.11.17 12:07:46 | 001,528,624 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

PRC - [2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe

PRC - [2009.07.14 02:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe

PRC - [2009.07.14 02:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe

PRC - [2009.07.14 02:14:24 | 000,157,184 | ---- | M] (Microsoft Corporation) -- c:\Programme\Windows Defender\MpCmdRun.exe

PRC - [2009.07.14 02:14:15 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe

 

 
 ========== Modules (SafeList) ==========

 

MOD - [2011.02.14 21:38:33 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Users\Heike\Downloads\OTL.exe

MOD - [2010.08.21 06:21:32 | 001,680,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll

MOD - [2009.07.14 02:16:15 | 000,099,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sspicli.dll

MOD - [2009.07.14 02:16:13 | 000,092,160 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sechost.dll

MOD - [2009.07.14 02:16:13 | 000,050,688 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\samcli.dll

MOD - [2009.07.14 02:16:12 | 000,031,744 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\profapi.dll

MOD - [2009.07.14 02:16:03 | 000,022,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\netutils.dll

MOD - [2009.07.14 02:15:35 | 000,288,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\KernelBase.dll

MOD - [2009.07.14 02:15:13 | 000,067,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\dwmapi.dll

MOD - [2009.07.14 02:15:11 | 000,064,512 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\devobj.dll

MOD - [2009.07.14 02:15:07 | 000,036,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cryptbase.dll

MOD - [2009.07.14 02:15:02 | 000,145,920 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cfgmgr32.dll

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - [2010.12.13 08:39:27 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2010.12.13 08:39:19 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2010.11.02 05:36:16 | 000,801,792 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\FntCache.dll -- (FontCache)

SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)

SRV - [2009.11.17 12:07:46 | 001,528,624 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)

SRV - [2009.07.14 02:16:21 | 000,185,856 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\wwansvc.dll -- (WwanSvc)

SRV - [2009.07.14 02:16:17 | 000,151,552 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\wbiosrvc.dll -- (WbioSrvc)

SRV - [2009.07.14 02:16:17 | 000,119,808 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\umpo.dll -- (Power)

SRV - [2009.07.14 02:16:16 | 000,037,376 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\themeservice.dll -- (Themes)

SRV - [2009.07.14 02:16:15 | 000,053,760 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sppuinotify.dll -- (sppuinotify)

SRV - [2009.07.14 02:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)

SRV - [2009.07.14 02:16:13 | 000,043,520 | ---- | M] (Microsoft Corporation) [Unknown | Running] -- C:\Windows\System32\RpcEpMap.dll -- (RpcEptMapper)

SRV - [2009.07.14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)

SRV - [2009.07.14 02:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)

SRV - [2009.07.14 02:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpsvc.dll -- (PNRPsvc)

SRV - [2009.07.14 02:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpsvc.dll -- (p2pimsvc)

SRV - [2009.07.14 02:16:12 | 000,165,376 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\provsvc.dll -- (HomeGroupProvider)

SRV - [2009.07.14 02:16:12 | 000,020,480 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpauto.dll -- (PNRPAutoReg)

SRV - [2009.07.14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)

SRV - [2009.07.14 02:15:36 | 000,194,560 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\ListSvc.dll -- (HomeGroupListener)

SRV - [2009.07.14 02:15:11 | 000,253,440 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\dhcpcore.dll -- (Dhcp)

SRV - [2009.07.14 02:15:10 | 000,218,624 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\defragsvc.dll -- (defragsvc)

SRV - [2009.07.14 02:14:59 | 000,076,800 | ---- | M] (Microsoft Corporation) [Unknown | Stopped] -- C:\Windows\System32\bdesvc.dll -- (BDESVC)

SRV - [2009.07.14 02:14:58 | 000,088,064 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\AxInstSv.dll -- (AxInstSV) ActiveX-Installer (AxInstSV)

SRV - [2009.07.14 02:14:53 | 000,027,648 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\appidsvc.dll -- (AppIDSvc)

SRV - [2009.07.14 02:14:29 | 003,179,520 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\sppsvc.exe -- (sppsvc)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - [2010.12.22 17:52:25 | 000,231,248 | ---- | M] (TrueCrypt Foundation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\truecrypt.sys -- (truecrypt)

DRV - [2010.12.13 08:39:39 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)

DRV - [2010.12.13 08:39:38 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)

DRV - [2010.06.17 14:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2009.12.11 08:44:02 | 000,133,720 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\ksecpkg.sys -- (KSecPkg)

DRV - [2009.11.17 12:07:06 | 000,308,859 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\CVPNDRVA.sys -- (CVPNDRVA)

DRV - [2009.07.14 02:26:21 | 000,015,952 | ---- | M] (CMD Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\cmdide.sys -- (cmdide)

DRV - [2009.07.14 02:26:17 | 000,297,552 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adpahci.sys -- (adpahci)

DRV - [2009.07.14 02:26:15 | 000,422,976 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adp94xx.sys -- (adp94xx)

DRV - [2009.07.14 02:26:15 | 000,159,312 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdsbs.sys -- (amdsbs)

DRV - [2009.07.14 02:26:15 | 000,146,512 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adpu320.sys -- (adpu320)

DRV - [2009.07.14 02:26:15 | 000,086,608 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\arcsas.sys -- (arcsas)

DRV - [2009.07.14 02:26:15 | 000,079,952 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdsata.sys -- (amdsata)

DRV - [2009.07.14 02:26:15 | 000,076,368 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\arc.sys -- (arc)

DRV - [2009.07.14 02:26:15 | 000,023,616 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\amdxata.sys -- (amdxata)

DRV - [2009.07.14 02:26:15 | 000,014,400 | ---- | M] (Acer Laboratories Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\aliide.sys -- (aliide)

DRV - [2009.07.14 02:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nvstor.sys -- (nvstor)

DRV - [2009.07.14 02:20:44 | 000,117,312 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nvraid.sys -- (nvraid)

DRV - [2009.07.14 02:20:44 | 000,044,624 | ---- | M] (IBM Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nfrd960.sys -- (nfrd960)

DRV - [2009.07.14 02:20:37 | 000,089,168 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_sas.sys -- (LSI_SAS)

DRV - [2009.07.14 02:20:36 | 000,332,352 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\iaStorV.sys -- (iaStorV)

DRV - [2009.07.14 02:20:36 | 000,235,584 | ---- | M] (LSI Corporation, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\MegaSR.sys -- (MegaSR)

DRV - [2009.07.14 02:20:36 | 000,096,848 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_scsi.sys -- (LSI_SCSI)

DRV - [2009.07.14 02:20:36 | 000,095,824 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_fc.sys -- (LSI_FC)

DRV - [2009.07.14 02:20:36 | 000,054,864 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_sas2.sys -- (LSI_SAS2)

DRV - [2009.07.14 02:20:36 | 000,041,040 | ---- | M] (Intel Corp./ICP vortex GmbH) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\iirsp.sys -- (iirsp)

DRV - [2009.07.14 02:20:36 | 000,030,800 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\megasas.sys -- (megasas)

DRV - [2009.07.14 02:20:36 | 000,013,904 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\hwpolicy.sys -- (hwpolicy)

DRV - [2009.07.14 02:20:28 | 000,453,712 | ---- | M] (Emulex) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\elxstor.sys -- (elxstor)

DRV - [2009.07.14 02:20:28 | 000,070,720 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\djsvs.sys -- (aic78xx)

DRV - [2009.07.14 02:20:28 | 000,067,152 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\HpSAMD.sys -- (HpSAMD)

DRV - [2009.07.14 02:20:28 | 000,046,160 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\fsdepends.sys -- (FsDepends)

DRV - [2009.07.14 02:19:11 | 000,141,904 | ---- | M] (VIA Technologies Inc.,Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vsmraid.sys -- (vsmraid)

DRV - [2009.07.14 02:19:10 | 000,175,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vmbus.sys -- (vmbus)

DRV - [2009.07.14 02:19:10 | 000,159,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vhdmp.sys -- (vhdmp)

DRV - [2009.07.14 02:19:10 | 000,040,896 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vmstorfl.sys -- (storflt)

DRV - [2009.07.14 02:19:10 | 000,032,832 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vdrvroot.sys -- (vdrvroot)

DRV - [2009.07.14 02:19:10 | 000,028,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\storvsc.sys -- (storvsc)

DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\wimmount.sys -- (WIMMount)

DRV - [2009.07.14 02:19:10 | 000,016,976 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\viaide.sys -- (viaide)

DRV - [2009.07.14 02:19:04 | 001,383,488 | ---- | M] (QLogic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ql2300.sys -- (ql2300)

DRV - [2009.07.14 02:19:04 | 000,173,648 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\rdyboost.sys -- (rdyboost)

DRV - [2009.07.14 02:19:04 | 000,106,064 | ---- | M] (QLogic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ql40xx.sys -- (ql40xx)

DRV - [2009.07.14 02:19:04 | 000,077,888 | ---- | M] (Silicon Integrated Systems) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\sisraid4.sys -- (SiSRaid4)

DRV - [2009.07.14 02:19:04 | 000,043,088 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\pcw.sys -- (pcw)

DRV - [2009.07.14 02:19:04 | 000,040,016 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\SiSRaid2.sys -- (SiSRaid2)

DRV - [2009.07.14 02:19:04 | 000,021,072 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\stexstor.sys -- (stexstor)

DRV - [2009.07.14 02:17:54 | 000,369,568 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\cng.sys -- (CNG)

DRV - [2009.07.14 01:57:25 | 000,272,128 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\Brserid.sys -- (Brserid) Brother MFC Serial Port Interface Driver (WDM)

DRV - [2009.07.14 01:02:41 | 000,018,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rdpbus.sys -- (rdpbus)

DRV - [2009.07.14 01:01:41 | 000,007,168 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\RDPREFMP.sys -- (RDPREFMP)

DRV - [2009.07.14 00:55:00 | 000,049,152 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\agilevpn.sys -- (RasAgileVpn) WAN Miniport (IKEv2)

DRV - [2009.07.14 00:53:51 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\wfplwf.sys -- (WfpLwf)

DRV - [2009.07.14 00:52:44 | 000,027,136 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ndiscap.sys -- (NdisCap)

DRV - [2009.07.14 00:52:02 | 000,019,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vwifibus.sys -- (vwifibus)

DRV - [2009.07.14 00:52:00 | 000,163,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\1394ohci.sys -- (1394ohci)

DRV - [2009.07.14 00:51:35 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\umpass.sys -- (UmPass)

DRV - [2009.07.14 00:51:08 | 000,004,096 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mshidkmdf.sys -- (mshidkmdf)

DRV - [2009.07.14 00:46:55 | 000,012,288 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\MTConfig.sys -- (MTConfig)

DRV - [2009.07.14 00:45:26 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CompositeBus.sys -- (CompositeBus)

DRV - [2009.07.14 00:36:52 | 000,050,176 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\appid.sys -- (AppID)

DRV - [2009.07.14 00:33:50 | 000,026,624 | ---- | M] (Microsoft Corporation) [Kernel | Unknown | Stopped] -- C:\Windows\System32\drivers\scfilter.sys -- (scfilter)

DRV - [2009.07.14 00:28:47 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vms3cap.sys -- (s3cap)

DRV - [2009.07.14 00:28:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\VMBusHID.sys -- (VMBusHID)

DRV - [2009.07.14 00:24:05 | 000,032,256 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\discache.sys -- (discache)

DRV - [2009.07.14 00:16:36 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\acpipmi.sys -- (AcpiPmi)

DRV - [2009.07.14 00:11:04 | 000,052,736 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdppm.sys -- (AmdPPM)

DRV - [2009.07.13 23:54:14 | 000,026,624 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\hcw85cir.sys -- (hcw85cir)

DRV - [2009.07.13 23:53:33 | 000,012,160 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrUsbMdm.sys -- (BrUsbMdm)

DRV - [2009.07.13 23:53:33 | 000,011,904 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrUsbSer.sys -- (BrUsbSer)

DRV - [2009.07.13 23:53:32 | 000,062,336 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrSerWdm.sys -- (BrSerWdm)

DRV - [2009.07.13 23:53:28 | 000,013,568 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\BrFiltLo.sys -- (BrFiltLo)

DRV - [2009.07.13 23:53:28 | 000,005,248 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\BrFiltUp.sys -- (BrFiltUp)

DRV - [2009.07.13 23:09:17 | 004,194,816 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)

DRV - [2009.07.13 23:02:52 | 000,139,776 | ---- | M] (Realtek Corporation                                            ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rt86win7.sys -- (RTL8167)

DRV - [2009.07.13 23:02:49 | 000,229,888 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\b57nd60x.sys -- (b57nd60x)

DRV - [2009.07.13 23:02:48 | 003,100,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\evbdx.sys -- (ebdrv)

DRV - [2009.07.13 23:02:48 | 000,430,080 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\bxvbdx.sys -- (b06bdrv)

DRV - [2008.11.16 18:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\dne2000.sys -- (DNE)

DRV - [2007.01.18 20:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CVirtA.sys -- (CVirtA)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 1B DA F6 F3 E9 A1 CB 01  [binary data]

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.selectedEngine: "search"

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..browser.startup.homepage: "hxxp://start.ffpimp.com"

FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3

FF - prefs.js..extensions.enabledItems: {B17C1C5A-04B1-11DB-9804-B622A1EF5492}:1.2.1

FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.0.9.7

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.0.7

FF - prefs.js..keyword.URL: "hxxp://bing.zugotoolbar.com/s/?site=Bing&pid=87&q="

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.12.23 21:31:52 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.12.24 21:29:51 | 000,000,000 | ---D | M]

 

[2010.12.23 21:32:10 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Heike\AppData\Roaming\mozilla\Extensions

[2011.02.14 20:14:37 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions

[2011.02.03 13:10:21 | 000,000,000 | ---D | M] (NoScript) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

[2010.12.23 21:48:40 | 000,000,000 | ---D | M] (Password Exporter) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions\{B17C1C5A-04B1-11DB-9804-B622A1EF5492}

[2010.12.23 21:48:40 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

[2011.02.13 14:20:40 | 000,000,000 | ---D | M] (Download Youtube Videos +) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions\video.downloader.plugin@ffpimp.com

[2011.02.13 15:54:42 | 000,000,000 | ---D | M] (YouTube to MP3) -- C:\Users\Heike\AppData\Roaming\mozilla\Firefox\Profiles\o5x37eh7.default\extensions\youtube2mp3@mondayx.de

[2011.02.13 14:22:07 | 000,005,044 | ---- | M] () -- C:\Users\Heike\AppData\Roaming\Mozilla\Firefox\Profiles\o5x37eh7.default\searchplugins\search.xml

[2010.12.24 21:29:53 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2010.12.24 21:29:53 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

[2010.12.24 21:29:53 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

[2010.12.24 21:29:41 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll

[2010.12.03 19:14:08 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2010.12.03 19:14:08 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2010.12.03 19:14:08 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2010.12.03 19:14:08 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2010.12.03 19:14:08 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts

O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll (Google Inc.)

O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKCU..\Run: [TrueCrypt] C:\Program Files\TrueCrypt\TrueCrypt.exe (TrueCrypt Foundation)

O4 - Startup: C:\Users\Heike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll (Google Inc.)

O13 - gopher Prefix: missing

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

NetSvcs: FastUserSwitchingCompatibility -  File not found

NetSvcs: Ias -  File not found

NetSvcs: Nla -  File not found

NetSvcs: Ntmssvc -  File not found

NetSvcs: NWCWorkstation -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: SRService -  File not found

NetSvcs: WmdmPmSp -  File not found

NetSvcs: LogonHours -  File not found

NetSvcs: PCAudit -  File not found

NetSvcs: helpsvc -  File not found

NetSvcs: uploadmgr -  File not found

NetSvcs: Themes - C:\Windows\System32\themeservice.dll (Microsoft Corporation)

NetSvcs: BDESVC - C:\Windows\System32\bdesvc.dll (Microsoft Corporation)

 

Drivers32: aux - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: aux1 - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: midi - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: midi1 - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: midimapper - C:\Windows\System32\midimap.dll (Microsoft Corporation)

Drivers32: mixer - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: mixer1 - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: msacm.imaadpcm - C:\Windows\System32\imaadp32.acm (Microsoft Corporation)

Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)

Drivers32: msacm.msadpcm - C:\Windows\System32\msadp32.acm (Microsoft Corporation)

Drivers32: msacm.msg711 - C:\Windows\System32\msg711.acm (Microsoft Corporation)

Drivers32: msacm.msgsm610 - C:\Windows\System32\msgsm32.acm (Microsoft Corporation)

Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)

Drivers32: vidc.i420 - C:\Windows\System32\iyuv_32.dll (Microsoft Corporation)

Drivers32: vidc.iyuv - C:\Windows\System32\iyuv_32.dll (Microsoft Corporation)

Drivers32: vidc.mrle - C:\Windows\System32\msrle32.dll (Microsoft Corporation)

Drivers32: vidc.msvc - C:\Windows\System32\msvidc32.dll (Microsoft Corporation)

Drivers32: vidc.uyvy - C:\Windows\System32\msyuv.dll (Microsoft Corporation)

Drivers32: vidc.yuy2 - C:\Windows\System32\msyuv.dll (Microsoft Corporation)

Drivers32: vidc.yvu9 - C:\Windows\System32\tsbyuv.dll (Microsoft Corporation)

Drivers32: vidc.yvyu - C:\Windows\System32\msyuv.dll (Microsoft Corporation)

Drivers32: wave - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: wave1 - C:\Windows\System32\wdmaud.drv (Microsoft Corporation)

Drivers32: wavemapper - C:\Windows\System32\msacm32.drv (Microsoft Corporation)
 

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2011.02.13 21:10:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner

[2011.02.13 21:10:52 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner

[2011.02.13 17:08:53 | 000,000,000 | ---D | C] -- C:\Windows\Sun

[2011.02.13 16:01:20 | 000,000,000 | ---D | C] -- C:\Users\Heike\Desktop\youtube

[2011.02.13 15:52:15 | 000,000,000 | ---D | C] -- C:\Users\Heike\AppData\Roaming\Publish Providers

[2011.02.13 15:48:57 | 000,000,000 | ---D | C] -- C:\Users\Heike\AppData\Roaming\Avira

[2011.02.13 15:46:31 | 000,000,000 | ---D | C] -- C:\Users\Heike\AppData\Local\Sony

[2011.02.13 15:46:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony

[2011.02.13 15:45:37 | 000,000,000 | ---D | C] -- C:\Programme\Sony

[2011.02.13 15:45:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Sony

[2011.02.13 15:45:04 | 000,000,000 | ---D | C] -- C:\Users\Heike\AppData\Roaming\Sony

[2011.02.13 15:34:39 | 000,000,000 | ---D | C] -- C:\Users\Heike\Desktop\Videos

[2011.02.04 21:58:33 | 000,000,000 | ---D | C] -- C:\Users\Heike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start

[2011.02.04 21:58:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Start

[2011.01.19 19:39:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RuckZuck

[2011.01.19 19:39:10 | 000,000,000 | ---D | C] -- C:\Programme\Mursoft

 
 ========== Files - Modified Within 30 Days ==========

 

[2011.02.14 21:31:50 | 000,000,246 | -H-- | M] () -- C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job

[2011.02.14 21:21:01 | 000,000,286 | -H-- | M] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job

[2011.02.14 20:52:02 | 000,000,286 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job

[2011.02.14 20:45:00 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

[2011.02.14 20:09:09 | 000,014,752 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

[2011.02.14 20:09:09 | 000,014,752 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

[2011.02.14 20:06:31 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat

[2011.02.14 20:06:31 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat

[2011.02.14 20:06:31 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat

[2011.02.14 20:06:31 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat

[2011.02.14 20:02:02 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

[2011.02.14 20:01:51 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat

[2011.02.14 20:01:46 | 1508,741,120 | -HS- | M] () -- C:\hiberfil.sys

[2011.02.13 21:39:17 | 000,001,682 | ---- | M] () -- C:\Users\Heike\Documents\cc_20110213_213912.reg

[2011.02.13 21:13:33 | 000,000,206 | ---- | M] () -- C:\Users\Heike\Documents\cc_20110213_211329.reg

[2011.02.13 21:13:01 | 000,013,840 | ---- | M] () -- C:\Users\Heike\Documents\cc_20110213_211254.reg

[2011.02.13 21:10:53 | 000,000,969 | ---- | M] () -- C:\Users\Public\Desktop\CCleaner.lnk

[2011.02.13 15:48:28 | 000,218,624 | ---- | M] () -- C:\Windows\Qnunia.exe

[2011.02.13 14:18:12 | 000,055,401 | ---- | M] () -- C:\Users\Heike\Desktop\header.jpg

[2011.02.12 18:06:02 | 000,017,521 | ---- | M] () -- C:\Users\Heike\Desktop\BEWERBUNG + LEBENSLAUF.odt

[2011.02.11 23:10:11 | 000,289,720 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT

[2011.02.04 19:53:13 | 000,061,965 | ---- | M] () -- C:\Users\Heike\Desktop\wolf.png

[2011.02.04 19:21:07 | 000,020,480 | ---- | M] () -- C:\Users\Heike\Desktop\Rechenteil.doc

[2011.02.04 19:21:04 | 000,019,968 | ---- | M] () -- C:\Users\Heike\Desktop\Fragenteil.doc

[2011.02.04 19:19:48 | 000,407,750 | ---- | M] () -- C:\Users\Heike\Desktop\Rechenteil.jpg

[2011.02.04 19:19:21 | 000,379,156 | ---- | M] () -- C:\Users\Heike\Desktop\Fragenteil.jpg

[2011.02.03 17:29:02 | 000,507,784 | ---- | M] () -- C:\Users\Heike\Desktop\img003.jpg

[2011.02.03 17:24:01 | 000,209,444 | ---- | M] () -- C:\Users\Heike\Desktop\img002.jpg

[2011.02.03 17:22:10 | 000,585,004 | ---- | M] () -- C:\Users\Heike\Desktop\img001.jpg

[2011.02.03 13:59:51 | 000,087,904 | ---- | M] () -- C:\Users\Heike\Desktop\ulb_kalender_2011.pdf

[2011.02.03 13:25:25 | 000,025,397 | ---- | M] () -- C:\Users\Heike\Desktop\rammbär.gif

[2011.01.30 15:54:11 | 000,000,432 | ---- | M] () -- C:\Windows\BRWMARK.INI

[2011.01.23 21:07:58 | 000,053,984 | ---- | M] () -- C:\Users\Heike\Desktop\ich2.jpg

[2011.01.22 22:41:48 | 000,059,058 | ---- | M] () -- C:\Users\Heike\Desktop\whw_2.jpg

[2011.01.22 22:41:32 | 000,057,653 | ---- | M] () -- C:\Users\Heike\Desktop\WHW.jpg

[2011.01.20 20:31:44 | 000,341,526 | ---- | M] () -- C:\Users\Heike\Desktop\streng_geheime_arbeit_dsc00672.jpg

[2011.01.19 19:38:56 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS

[2011.01.19 19:38:56 | 000,000,000 | RHS- | M] () -- C:\IO.SYS

[2011.01.19 17:44:44 | 000,164,988 | ---- | M] () -- C:\Users\Heike\Desktop\berlin_europa_center_wasseruhr.jpg

 
 ========== Files Created - No Company Name ==========

 

[2011.02.13 21:39:15 | 000,001,682 | ---- | C] () -- C:\Users\Heike\Documents\cc_20110213_213912.reg

[2011.02.13 21:13:31 | 000,000,206 | ---- | C] () -- C:\Users\Heike\Documents\cc_20110213_211329.reg

[2011.02.13 21:12:58 | 000,013,840 | ---- | C] () -- C:\Users\Heike\Documents\cc_20110213_211254.reg

[2011.02.13 21:10:53 | 000,000,969 | ---- | C] () -- C:\Users\Public\Desktop\CCleaner.lnk

[2011.02.13 15:48:42 | 000,000,286 | -H-- | C] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job

[2011.02.13 15:48:36 | 000,000,286 | -H-- | C] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job

[2011.02.13 15:48:35 | 000,218,624 | ---- | C] () -- C:\Windows\Qnunia.exe

[2011.02.13 15:48:31 | 000,000,246 | -H-- | C] () -- C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job

[2011.02.13 14:18:11 | 000,055,401 | ---- | C] () -- C:\Users\Heike\Desktop\header.jpg

[2011.02.04 19:53:12 | 000,061,965 | ---- | C] () -- C:\Users\Heike\Desktop\wolf.png

[2011.02.04 19:21:05 | 000,020,480 | ---- | C] () -- C:\Users\Heike\Desktop\Rechenteil.doc

[2011.02.04 19:21:02 | 000,019,968 | ---- | C] () -- C:\Users\Heike\Desktop\Fragenteil.doc

[2011.02.04 19:19:26 | 000,407,750 | ---- | C] () -- C:\Users\Heike\Desktop\Rechenteil.jpg

[2011.02.04 19:19:01 | 000,379,156 | ---- | C] () -- C:\Users\Heike\Desktop\Fragenteil.jpg

[2011.02.03 17:28:34 | 000,507,784 | ---- | C] () -- C:\Users\Heike\Desktop\img003.jpg

[2011.02.03 17:23:50 | 000,209,444 | ---- | C] () -- C:\Users\Heike\Desktop\img002.jpg

[2011.02.03 17:21:34 | 000,585,004 | ---- | C] () -- C:\Users\Heike\Desktop\img001.jpg

[2011.02.03 13:59:51 | 000,087,904 | ---- | C] () -- C:\Users\Heike\Desktop\ulb_kalender_2011.pdf

[2011.02.03 13:25:24 | 000,025,397 | ---- | C] () -- C:\Users\Heike\Desktop\rammbär.gif

[2011.01.24 20:31:18 | 000,017,521 | ---- | C] () -- C:\Users\Heike\Desktop\BEWERBUNG + LEBENSLAUF.odt

[2011.01.23 21:05:44 | 000,053,984 | ---- | C] () -- C:\Users\Heike\Desktop\ich2.jpg

[2011.01.22 22:41:47 | 000,059,058 | ---- | C] () -- C:\Users\Heike\Desktop\whw_2.jpg

[2011.01.22 22:41:31 | 000,057,653 | ---- | C] () -- C:\Users\Heike\Desktop\WHW.jpg

[2011.01.20 20:31:43 | 000,341,526 | ---- | C] () -- C:\Users\Heike\Desktop\streng_geheime_arbeit_dsc00672.jpg

[2011.01.19 19:38:56 | 000,000,000 | RHS- | C] () -- C:\MSDOS.SYS

[2011.01.19 19:38:56 | 000,000,000 | RHS- | C] () -- C:\IO.SYS

[2011.01.19 17:44:44 | 000,164,988 | ---- | C] () -- C:\Users\Heike\Desktop\berlin_europa_center_wasseruhr.jpg

[2010.12.26 21:00:39 | 000,000,432 | ---- | C] () -- C:\Windows\BRWMARK.INI

[2009.11.17 12:08:34 | 000,197,424 | ---- | C] () -- C:\Windows\System32\vpnapi.dll

[2009.07.14 00:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll

[2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll

 
 ========== LOP Check ==========

 

[2011.02.14 21:39:14 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\.purple

[2011.02.04 19:20:52 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\gtk-2.0

[2011.01.03 20:40:15 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\KeePass

[2010.12.24 21:33:49 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\OpenOffice.org

[2011.02.13 15:52:15 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\Publish Providers

[2011.02.13 15:52:11 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\Sony

[2010.12.22 18:05:39 | 000,000,000 | ---D | M] -- C:\Users\Heike\AppData\Roaming\TrueCrypt

[2009.07.14 05:53:46 | 000,016,756 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

[2011.02.14 20:52:02 | 000,000,286 | -H-- | M] () -- C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job

[2011.02.14 21:31:50 | 000,000,246 | -H-- | M] () -- C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job

[2011.02.14 21:21:01 | 000,000,286 | -H-- | M] () -- C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 

 
 < %SYSTEMDRIVE%\*.* >

[2009.06.10 22:42:20 | 000,000,024 | ---- | M] () -- C:\autoexec.bat

[2009.06.10 22:42:20 | 000,000,010 | ---- | M] () -- C:\config.sys

[2011.02.14 20:01:46 | 1508,741,120 | -HS- | M] () -- C:\hiberfil.sys

[2011.01.19 19:38:56 | 000,000,000 | RHS- | M] () -- C:\IO.SYS

[2011.01.19 19:38:56 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS

[2011.02.14 20:01:49 | 2011,656,192 | -HS- | M] () -- C:\pagefile.sys

 
 < %systemroot%\system32\*.wt >

 
 < %systemroot%\system32\*.ruy >

 
 < %systemroot%\Fonts\*.com >

[2009.07.14 05:52:25 | 000,026,040 | ---- | M] () -- C:\Windows\Fonts\GlobalMonospace.CompositeFont

[2009.07.14 05:52:25 | 000,026,489 | ---- | M] () -- C:\Windows\Fonts\GlobalSansSerif.CompositeFont

[2009.07.14 05:52:25 | 000,029,779 | ---- | M] () -- C:\Windows\Fonts\GlobalSerif.CompositeFont

[2009.07.14 05:52:25 | 000,043,318 | ---- | M] () -- C:\Windows\Fonts\GlobalUserInterface.CompositeFont

 
 < %systemroot%\Fonts\*.dll >

 
 < %systemroot%\Fonts\*.ini >

[2009.06.10 22:31:19 | 000,000,065 | ---- | M] () -- C:\Windows\Fonts\desktop.ini

 
 < %systemroot%\Fonts\*.ini2 >

 
 < %systemroot%\system32\spool\prtprocs\w32x86\*.* >

[2009.07.14 02:15:35 | 000,022,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\jnwppr.dll

[2009.07.14 02:16:19 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spool\prtprocs\w32x86\winprint.dll

 
 < %systemroot%\REPAIR\*.bak1 >

 
 < %systemroot%\REPAIR\*.ini >

 
 < %systemroot%\system32\*.jpg >

 
 < %systemroot%\*.scr >

 
 < %systemroot%\*._sy >

 
 < %APPDATA%\Adobe\Update\*.* >

 
 < %ALLUSERSPROFILE%\Favorites\*.* >

 
 < %APPDATA%\Microsoft\*.* >

 
 < %PROGRAMFILES%\*.* >

[2009.07.14 05:41:57 | 000,000,174 | -HS- | M] () -- C:\Programme\desktop.ini

 
 < %APPDATA%\Update\*.* >

 
 < %systemroot%\*. /mp /s >

 
 < %systemroot%\system32\*.dll /lockedfiles >

 
 < %systemroot%\Tasks\*.job /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

 
 < %systemroot%\system32\user32.dll /md5 >

[2009.07.14 02:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\System32\user32.dll

 
 < %systemroot%\system32\ws2_32.dll /md5 >

[2009.07.14 02:16:20 | 000,206,336 | ---- | M] (Microsoft Corporation) MD5=DAAE8A9B8C0ACC7F858454132553C30D -- C:\Windows\System32\ws2_32.dll

 
 < %systemroot%\system32\ws2help.dll /md5 >

[2009.07.14 02:11:26 | 000,004,608 | ---- | M] (Microsoft Corporation) MD5=808AABDF9337312195CAFF76D1804786 -- C:\Windows\System32\ws2help.dll

 

 
 < MD5 for: EXPLORER.EXE  >

[2009.07.14 02:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe

[2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe

[2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe

[2009.08.03 06:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe

[2009.08.03 06:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe

[2009.10.31 07:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe

 
 < MD5 for: WININIT.EXE  >

[2009.07.14 02:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe

[2009.07.14 02:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe

 
 < MD5 for: WINLOGON.EXE  >

[2009.10.28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe

[2009.10.28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe

[2009.10.28 06:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe

[2009.07.14 02:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe

 
 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

 
 < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-02-11 12:55:00

 
 <           >
 

< End of report >

Hier der Text aus der Extra.txt

Code:

OTL Extras logfile created on: 14.02.2011 21:39:17 - Run 1

OTL by OldTimer - Version 3.2.20.6     Folder = C:\Users\Heike\Downloads

 An unknown product  (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7600.16385)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 79,00% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 232,79 Gb Total Space | 184,48 Gb Free Space | 79,25% Space Free | Partition Type: NTFS

 

Computer Name: HEIKE-PC | User Name: Heike | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)

.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)

exefile [open] -- "%1" %*

helpfile [open] -- Reg Error: Key error.

hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)

htmlfile [edit] -- Reg Error: Key error.

htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"

inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [explore] -- Reg Error: Value error.

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"cval" = 1

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

"VistaSp1" = Reg Error: Unknown registry data type -- File not found

"AntiVirusOverride" = 0

"AntiSpywareOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"DisableNotifications" = 0

"EnableFirewall" = 1

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"DisableNotifications" = 0

"EnableFirewall" = 1

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]

"DisableNotifications" = 0

"EnableFirewall" = 1

 
 ========== Authorized Applications List ==========

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}" = Cisco Systems VPN Client 5.0.06.0160

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20

"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{6E0E4D61-11EC-11E0-B454-0013D3D69929}" = Vegas Pro 10.0

"{7032B400-11EC-11E0-A9BF-0013D3D69929}" = MSVCRT Redists

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch

"{DFFC0648-BC4B-47D1-93D2-6CA6B9457641}" = OpenOffice.org 3.2

"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"CCleaner" = CCleaner

"InfoRapid Suchen & Ersetzen" = InfoRapid Suchen & Ersetzen

"KeePass Password Safe_is1" = KeePass Password Safe 1.18

"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile

"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack

"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)

"Pidgin" = Pidgin

"pidgin-otr" = pidgin-otr 3.2.0-1

"TrueCrypt" = TrueCrypt

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110

Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.

 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle

 konnte nicht aufgebaut werden.  

 

Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110

Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.

 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle

 konnte nicht aufgebaut werden.  

 

Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110

Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.

 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle

 konnte nicht aufgebaut werden.  

 

Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110

Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.

 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle

 konnte nicht aufgebaut werden.  

 

Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110

Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.

 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle

 konnte nicht aufgebaut werden.  

 

Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110

Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.

 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle

 konnte nicht aufgebaut werden.  

 

Error - 13.02.2011 10:54:09 | Computer Name = Heike-PC | Source = Microsoft-Windows-CAPI2 | ID = 4110

Description = Fehler beim Hinzufügen des Zertifikats zu Drittanbieter-Stammzertifizierungsstellen.

 Fehler: Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle

 konnte nicht aufgebaut werden.  

 

Error - 13.02.2011 12:35:59 | Computer Name = Heike-PC | Source = Application Error | ID = 1000

Description = Name der fehlerhaften Anwendung: Qnunia.exe, Version: 0.0.0.0, Zeitstempel:

 0x4d55393a  Name des fehlerhaften Moduls: MSVCR71.dll, Version: 7.10.3052.4, Zeitstempel:

 0x3e561eac  Ausnahmecode: 0xc0000005  Fehleroffset: 0x00032e3f  ID des fehlerhaften Prozesses:

 0xe24  Startzeit der fehlerhaften Anwendung: 0x01cbcb9373955cc1  Pfad der fehlerhaften

 Anwendung: C:\Windows\Qnunia.exe  Pfad des fehlerhaften Moduls: C:\Program Files\Java\jre6\bin\MSVCR71.dll

Berichtskennung:

 56329fb0-378f-11e0-bf39-001fd0d4585b

 

Error - 13.02.2011 14:21:14 | Computer Name = Heike-PC | Source = Application Error | ID = 1000

Description = Name der fehlerhaften Anwendung: Ql3.exe, Version: 0.0.0.0, Zeitstempel:

 0x4d53e16f  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel:

 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0057d4a8  ID des fehlerhaften Prozesses:

 0x135c  Startzeit der fehlerhaften Anwendung: 0x01cbcba9ed456983  Pfad der fehlerhaften

 Anwendung: C:\Users\Heike\AppData\Local\Temp\Ql3.exe  Pfad des fehlerhaften Moduls:

 unknown  Berichtskennung: 0a18d955-379e-11e0-bf39-001fd0d4585b

 

Error - 14.02.2011 16:31:42 | Computer Name = Heike-PC | Source = Application Error | ID = 1000

Description = Name der fehlerhaften Anwendung: Qnunia.exe, Version: 0.0.0.0, Zeitstempel:

 0x4d55393a  Name des fehlerhaften Moduls: MSVCR71.dll, Version: 7.10.3052.4, Zeitstempel:

 0x3e561eac  Ausnahmecode: 0xc0000005  Fehleroffset: 0x00032e3f  ID des fehlerhaften Prozesses:

 0x754  Startzeit der fehlerhaften Anwendung: 0x01cbcc79a6323462  Pfad der fehlerhaften

 Anwendung: C:\Windows\Qnunia.exe  Pfad des fehlerhaften Moduls: C:\Program Files\Java\jre6\bin\MSVCR71.dll

Berichtskennung:

 6e69be4c-3879-11e0-9ced-001fd0d4585b

 

[ System Events ]

Error - 19.01.2011 11:19:35 | Computer Name = Heike-PC | Source = Service Control Manager | ID = 7011

Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung

 von Dienst lmhosts erreicht.

 

Error - 22.01.2011 05:53:37 | Computer Name = Heike-PC | Source = Service Control Manager | ID = 7011

Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung

 von Dienst lmhosts erreicht.

 

Error - 23.01.2011 16:02:11 | Computer Name = Heike-PC | Source = EventLog | ID = 6008

Description = Das System wurde zuvor am ?23.?01.?2011 um 21:00:11 unerwartet heruntergefahren.

 

Error - 29.01.2011 19:16:15 | Computer Name = Heike-PC | Source = Service Control Manager | ID = 7038

Description = Der Dienst "upnphost" konnte sich nicht als "NT AUTHORITY\LocalService"

 mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden:   %%1352    Vergewissern

 Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft

 Management Console (MMC).

 

Error - 29.01.2011 19:16:15 | Computer Name = Heike-PC | Source = Service Control Manager | ID = 7000

Description = Der Dienst "UPnP-Gerätehost" wurde aufgrund folgenden Fehlers nicht

 gestartet:   %%1069

 

Error - 29.01.2011 19:16:15 | Computer Name = Heike-PC | Source = DCOM | ID = 10005

Description = 

 

Error - 04.02.2011 17:36:59 | Computer Name = Heike-PC | Source = Service Control Manager | ID = 7011

Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung

 von Dienst lmhosts erreicht.

 

Error - 13.02.2011 10:45:32 | Computer Name = Heike-PC | Source = Disk | ID = 262155

Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden.

 

Error - 13.02.2011 10:45:33 | Computer Name = Heike-PC | Source = Disk | ID = 262155

Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden.

 

Error - 13.02.2011 10:45:34 | Computer Name = Heike-PC | Source = Disk | ID = 262155

Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden.

 

 

< End of report >

Nun noch das GMER Log :)

So schnell kann ich auch nicht, aber hier ist es:

Code:

GMER 1.0.15.15530 - hxxp://www.gmer.net

Rootkit scan 2011-02-14 21:58:37

Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-5 WDC_WD2500AAJS-22B4A0 rev.01.03A01

Running: 9uy79zb8.exe; Driver: C:\Users\Heike\AppData\Local\Temp\uglcipoc.sys
 
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD           82844589 1 Byte  [06]

.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2    82869092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text           C:\Windows\system32\DRIVERS\atikmdag.sys  section is writeable [0x8D82C000, 0x227A14, 0xE8000020]
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
 

Device          \Driver\ACPI_HAL \Device\0000004a         halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
 

---- Disk sectors - GMER 1.0.15 ----
 

Disk            \Device\Harddisk0\DR0                     sector 63: rootkit-like behavior; 

Disk            \Device\Harddisk0\DR0                     sectors 488394799 (+255): rootkit-like behavior; 
 

---- EOF - GMER 1.0.15 ----

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

So,
habe alles wie beschrieben ausgeführt:

Code:

ComboFix 11-02-13.04 - Heike 14.02.2011  22:26:21.1.2 - x86

Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.1918.994 [GMT 1:00]

ausgeführt von:: c:\users\Heike\Downloads\Combo-Fix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\programdata\Desktop
 

.

(((((((((((((((((((((((   Dateien erstellt von 2011-01-14 bis 2011-02-14  ))))))))))))))))))))))))))))))

.
 

2011-02-14 21:28 . 2011-02-14 21:28        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-02-13 20:10 . 2011-02-13 20:10        --------        d-----w-        c:\program files\CCleaner

2011-02-13 16:08 . 2011-02-13 16:08        --------        d-----w-        c:\windows\Sun

2011-02-13 14:52 . 2011-02-13 14:52        --------        d-----w-        c:\users\Heike\AppData\Roaming\Publish Providers

2011-02-13 14:48 . 2011-02-13 14:48        --------        d-----w-        c:\users\Heike\AppData\Roaming\Avira

2011-02-13 14:48 . 2011-02-13 14:48        218624        ----a-w-        c:\windows\Qnunia.exe

2011-02-13 14:46 . 2011-02-13 14:46        --------        d-----w-        c:\users\Heike\AppData\Local\Sony

2011-02-13 14:45 . 2011-02-13 14:45        --------        d-----w-        c:\programdata\Sony

2011-02-13 14:45 . 2011-02-13 14:45        --------        d-----w-        c:\program files\Sony

2011-02-13 14:45 . 2011-02-13 14:52        --------        d-----w-        c:\users\Heike\AppData\Roaming\Sony

2011-02-11 11:08 . 2010-12-21 05:38        350720        ----a-w-        c:\windows\system32\winhttp.dll

2011-02-11 11:08 . 2010-12-21 05:38        204800        ----a-w-        c:\windows\system32\WebClnt.dll

2011-02-11 11:08 . 2010-12-21 05:36        1236992        ----a-w-        c:\windows\system32\msxml3.dll

2011-02-11 11:08 . 2010-12-21 05:34        80384        ----a-w-        c:\windows\system32\davclnt.dll

2011-02-11 11:08 . 2010-12-21 05:38        73728        ----a-w-        c:\windows\system32\wscsvc.dll

2011-02-11 11:08 . 2010-12-21 05:38        51200        ----a-w-        c:\windows\system32\wscapi.dll

2011-02-11 11:08 . 2010-12-21 05:38        14336        ----a-w-        c:\windows\system32\slwga.dll

2011-02-11 11:08 . 2011-02-03 05:45        219008        ----a-w-        c:\windows\system32\drivers\dxgmms1.sys

2011-02-11 11:07 . 2011-01-13 09:41        5890896        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{EE65BA20-29C8-4814-8A8C-E0D9FC2CBB27}\mpengine.dll

2011-02-04 20:58 . 2000-08-30 13:28        77824        ----a-w-        c:\windows\system32\ODBCTL32.dll

2011-02-04 20:58 . 2000-08-30 13:28        251664        ----a-w-        c:\windows\system32\MSRD2x35.dll

2011-01-19 18:39 . 2011-01-19 18:39        --------        d-----w-        c:\program files\Mursoft

2011-01-19 18:39 . 2000-08-30 13:28        430080        ----a-w-        c:\windows\system32\MsRepl35.dll

2011-01-19 18:39 . 2000-08-30 13:28        24336        ----a-w-        c:\windows\system32\MSJtEr35.dll

2011-01-19 18:39 . 2000-08-30 13:28        145168        ----a-w-        c:\windows\system32\MSJInt35.dll

2011-01-19 18:39 . 2000-08-30 13:28        1056768        ----a-w-        c:\windows\system32\MSJet35.dll

2011-01-19 18:39 . 1996-12-02 17:44        582144        ----a-w-        c:\program files\Common Files\Microsoft Shared\DAO\dao350.dll

2011-01-19 18:39 . 1996-11-08 01:48        368912        ----a-w-        c:\windows\system32\vbar332.dll

2011-01-19 18:39 . 1998-01-23 11:20        305664        ----a-w-        c:\windows\IsUn0407.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-24 20:29 . 2010-12-24 20:29        411368        ----a-w-        c:\windows\system32\deployJava1.dll

2010-12-22 16:52 . 2010-12-22 16:52        231248        ----a-w-        c:\windows\system32\drivers\truecrypt.sys

2010-12-13 07:39 . 2010-12-27 12:01        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2010-12-13 07:39 . 2010-12-27 12:01        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TrueCrypt"="c:\program files\TrueCrypt\TrueCrypt.exe" [2010-12-22 1496528]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
 

c:\users\Heike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

VPN Client.lnk - c:\windows\Installer\{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}\Icon3E5562ED7.ico [2010-12-26 6144]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-12-22 136176]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-12-13 135336]

S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
 
 

--- Andere Dienste/Treiber im Speicher ---
 

*NewlyCreated* - UGLCIPOC

*Deregistered* - uglcipoc

.

Inhalt des "geplante Tasks" Ordners
 

2011-02-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-22 16:35]
 

2011-02-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-22 16:35]
 

2011-02-14 c:\windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job

- c:\windows\Qnunia.exe [2011-02-13 14:48]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

FF - ProfilePath - c:\users\Heike\AppData\Roaming\Mozilla\Firefox\Profiles\o5x37eh7.default\

FF - prefs.js: browser.startup.homepage - hxxp://start.ffpimp.com

FF - prefs.js: keyword.URL - hxxp://bing.zugotoolbar.com/s/?site=Bing&pid=87&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

FF - Ext: Password Exporter: {B17C1C5A-04B1-11DB-9804-B622A1EF5492} - %profile%\extensions\{B17C1C5A-04B1-11DB-9804-B622A1EF5492}

FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

FF - Ext: YouTube to MP3: youtube2mp3@mondayx.de - %profile%\extensions\youtube2mp3@mondayx.de

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2011-02-14  22:30:21

ComboFix-quarantined-files.txt  2011-02-14 21:30
 

Vor Suchlauf: 5 Verzeichnis(se), 197.946.224.640 Bytes frei

Nach Suchlauf: 8 Verzeichnis(se), 197.918.027.776 Bytes frei
 

- - End Of File - - 0B02B8C03AD088DF1DBE32F4ABD00737

Schritt 1

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.

Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

Code:

mbr.exe -t > C:\mbr.log & C:\mbr.log

(Enter drücken)
Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.

Schritt 2

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

Hallo, habe alles wie beschrieben in den System32-Ordner kopiert, wollte das gerade über ausführen mit mbr machen, bekomme aber immer eine Fehlermeldung:

Zitat:

Zugriff wurde verweigert.
Der Befehl ist entwerder falsch oder konnte nicht gefunden werden.

Was soll ich tun?

Hier aber schonmal der Inhalt aus der anderen Datei:

Code:

MBRCheck, version 1.2.3

(c) 2010, AD
 

Command-line:                        

Windows Version:                Windows 7 Professional

Windows Information:                 (build 7600), 32-bit

Base Board Manufacturer:        Gigabyte Technology Co., Ltd.

BIOS Manufacturer:                Award Software International, Inc.

System Manufacturer:                Gigabyte Technology Co., Ltd.

System Product Name:                GA-MA74GM-S2H

Logical Drives Mask:                0x0000000d
 

Kernel Drivers (total 187):

  0x82809000 \SystemRoot\system32\ntkrnlpa.exe

  0x82C19000 \SystemRoot\system32\halmacpi.dll

  0x80BB6000 \SystemRoot\system32\kdcom.dll

  0x82E1E000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll

  0x82E29000 \SystemRoot\system32\PSHED.dll

  0x82E3A000 \SystemRoot\system32\BOOTVID.dll

  0x82E42000 \SystemRoot\system32\CLFS.SYS

  0x82E84000 \SystemRoot\system32\CI.dll

  0x82F2F000 \SystemRoot\system32\drivers\Wdf01000.sys

  0x82FA0000 \SystemRoot\system32\drivers\WDFLDR.SYS

  0x82FAE000 \SystemRoot\system32\DRIVERS\ACPI.sys

  0x82FF6000 \SystemRoot\system32\DRIVERS\WMILIB.SYS

  0x82E00000 \SystemRoot\system32\DRIVERS\msisadrv.sys

  0x8802C000 \SystemRoot\system32\DRIVERS\pci.sys

  0x88056000 \SystemRoot\system32\DRIVERS\vdrvroot.sys

  0x88061000 \SystemRoot\System32\drivers\partmgr.sys

  0x88072000 \SystemRoot\system32\DRIVERS\volmgr.sys

  0x88082000 \SystemRoot\System32\drivers\volmgrx.sys

  0x880CD000 \SystemRoot\system32\DRIVERS\pciide.sys

  0x880D4000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS

  0x880E2000 \SystemRoot\System32\drivers\mountmgr.sys

  0x880F8000 \SystemRoot\system32\DRIVERS\atapi.sys

  0x88101000 \SystemRoot\system32\DRIVERS\ataport.SYS

  0x88124000 \SystemRoot\system32\DRIVERS\amdxata.sys

  0x8812D000 \SystemRoot\system32\drivers\fltmgr.sys

  0x88161000 \SystemRoot\system32\drivers\fileinfo.sys

  0x88172000 \SystemRoot\System32\drivers\truecrypt.sys

  0x88207000 \SystemRoot\System32\Drivers\Ntfs.sys

  0x88336000 \SystemRoot\System32\Drivers\msrpc.sys

  0x88361000 \SystemRoot\System32\Drivers\ksecdd.sys

  0x88374000 \SystemRoot\System32\Drivers\cng.sys

  0x883D1000 \SystemRoot\System32\drivers\pcw.sys

  0x883DF000 \SystemRoot\System32\Drivers\Fs_Rec.sys

  0x8843B000 \SystemRoot\system32\drivers\ndis.sys

  0x884F2000 \SystemRoot\system32\drivers\NETIO.SYS

  0x88530000 \SystemRoot\System32\Drivers\ksecpkg.sys

  0x8861D000 \SystemRoot\System32\drivers\tcpip.sys

  0x88766000 \SystemRoot\System32\drivers\fwpkclnt.sys

  0x88797000 \SystemRoot\system32\DRIVERS\vmstorfl.sys

  0x887A0000 \SystemRoot\system32\DRIVERS\volsnap.sys

  0x887DF000 \SystemRoot\System32\Drivers\spldr.sys

  0x88555000 \SystemRoot\System32\drivers\rdyboost.sys

  0x887E7000 \SystemRoot\System32\Drivers\mup.sys

  0x887F7000 \SystemRoot\System32\drivers\hwpolicy.sys

  0x88582000 \SystemRoot\System32\DRIVERS\fvevol.sys

  0x88600000 \SystemRoot\system32\DRIVERS\disk.sys

  0x885B4000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS

  0x881A9000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0x883E8000 \SystemRoot\System32\Drivers\Null.SYS

  0x883EF000 \SystemRoot\System32\Drivers\Beep.SYS

  0x881C8000 \SystemRoot\System32\drivers\vga.sys

  0x881D4000 \SystemRoot\System32\drivers\VIDEOPRT.SYS

  0x88000000 \SystemRoot\System32\drivers\watchdog.sys

  0x883F6000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0x8800D000 \SystemRoot\system32\drivers\rdpencdd.sys

  0x88015000 \SystemRoot\system32\drivers\rdprefmp.sys

  0x8801D000 \SystemRoot\System32\Drivers\Msfs.SYS

  0x82E08000 \SystemRoot\System32\Drivers\Npfs.SYS

  0x8CC02000 \SystemRoot\system32\DRIVERS\tdx.sys

  0x8CC19000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0x8CC24000 \SystemRoot\system32\drivers\afd.sys

  0x8CC7E000 \SystemRoot\System32\DRIVERS\netbt.sys

  0x8CCB0000 \SystemRoot\system32\DRIVERS\wfplwf.sys

  0x8CCB7000 \SystemRoot\system32\DRIVERS\pacer.sys

  0x8CCD6000 \SystemRoot\system32\DRIVERS\netbios.sys

  0x8CCE4000 \SystemRoot\system32\DRIVERS\serial.sys

  0x8CCFE000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0x8CD11000 \SystemRoot\system32\DRIVERS\termdd.sys

  0x8CD21000 \SystemRoot\system32\DRIVERS\ssmdrv.sys

  0x8CD27000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0x8CD68000 \SystemRoot\system32\drivers\nsiproxy.sys

  0x8CD72000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0x8CD7C000 \SystemRoot\System32\drivers\discache.sys

  0x8CD88000 \SystemRoot\system32\drivers\csc.sys

  0x8D201000 \SystemRoot\System32\Drivers\dfsc.sys

  0x8D219000 \SystemRoot\system32\DRIVERS\blbdrive.sys

  0x8D227000 \SystemRoot\system32\DRIVERS\avipbb.sys

  0x8D24D000 \SystemRoot\system32\DRIVERS\tunnel.sys

  0x8D26E000 \SystemRoot\system32\DRIVERS\amdk8.sys

  0x8D826000 \SystemRoot\system32\DRIVERS\atikmdag.sys

  0x8DC7A000 \SystemRoot\System32\drivers\dxgkrnl.sys

  0x8DD31000 \SystemRoot\System32\drivers\dxgmms1.sys

  0x8DD6A000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

  0x8DD89000 \SystemRoot\system32\DRIVERS\Rt86win7.sys

  0x8DDAE000 \SystemRoot\system32\DRIVERS\usbohci.sys

  0x8D280000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0x8DDB8000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0x8DDC7000 \SystemRoot\system32\DRIVERS\fdc.sys

  0x8DDD2000 \SystemRoot\system32\DRIVERS\serenum.sys

  0x8DDDC000 \SystemRoot\system32\DRIVERS\parport.sys

  0x8D800000 \SystemRoot\system32\DRIVERS\i8042prt.sys

  0x8D818000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0x8D2CB000 \SystemRoot\system32\DRIVERS\CompositeBus.sys

  0x8D2D8000 \SystemRoot\system32\DRIVERS\dne2000.sys

  0x8D2F7000 \SystemRoot\system32\DRIVERS\AgileVpn.sys

  0x8D309000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0x8DDF4000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0x8D321000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0x8D343000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0x8D35B000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0x8D372000 \SystemRoot\system32\DRIVERS\rassstp.sys

  0x8D389000 \SystemRoot\system32\DRIVERS\rdpbus.sys

  0x8D393000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0x8D3A0000 \SystemRoot\system32\DRIVERS\swenum.sys

  0x8D3A2000 \SystemRoot\system32\DRIVERS\ks.sys

  0x8D3D6000 \SystemRoot\system32\DRIVERS\umbus.sys

  0x9143F000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0x91483000 \SystemRoot\system32\DRIVERS\flpydisk.sys

  0x9148D000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0x9149E000 \SystemRoot\system32\drivers\HdAudio.sys

  0x914EE000 \SystemRoot\system32\drivers\portcls.sys

  0x9151D000 \SystemRoot\system32\drivers\drmk.sys

  0x932A0000 \SystemRoot\System32\win32k.sys

  0x91536000 \SystemRoot\System32\drivers\Dxapi.sys

  0x91540000 \SystemRoot\System32\Drivers\crashdmp.sys

  0x9154D000 \SystemRoot\System32\Drivers\dump_dumpata.sys

  0x91558000 \SystemRoot\System32\Drivers\dump_atapi.sys

  0x91561000 \SystemRoot\System32\Drivers\dump_dumpfve.sys

  0x91572000 \SystemRoot\System32\Drivers\dump_truecrypt.sys

  0x915A9000 \SystemRoot\system32\DRIVERS\hidusb.sys

  0x915B4000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

  0x915C7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0x915CE000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0x915D0000 \SystemRoot\system32\DRIVERS\mouhid.sys

  0x915DB000 \SystemRoot\system32\DRIVERS\monitor.sys

  0x93500000 \SystemRoot\System32\TSDDD.dll

  0x915E6000 \SystemRoot\system32\DRIVERS\usbprint.sys

  0x91400000 \SystemRoot\system32\drivers\luafv.sys

  0x9141B000 \SystemRoot\system32\DRIVERS\avgntflt.sys

  0x8D3E4000 \SystemRoot\system32\drivers\WudfPf.sys

  0x8CDEC000 \SystemRoot\system32\DRIVERS\lltdio.sys

  0x885D9000 \SystemRoot\system32\DRIVERS\rspndr.sys

  0x82022000 \SystemRoot\system32\drivers\HTTP.sys

  0x820A7000 \SystemRoot\system32\DRIVERS\bowser.sys

  0x820C0000 \SystemRoot\System32\drivers\mpsdrv.sys

  0x820D2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0x820F5000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys

  0x82130000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys

  0x8214B000 \SystemRoot\system32\DRIVERS\parvdm.sys

  0x82152000 \??\C:\Windows\system32\Drivers\CVPNDRVA.sys

  0x98409000 \SystemRoot\system32\drivers\peauth.sys

  0x984A0000 \SystemRoot\System32\Drivers\secdrv.SYS

  0x984AA000 \SystemRoot\System32\DRIVERS\srvnet.sys

  0x984CB000 \SystemRoot\System32\drivers\tcpipreg.sys

  0x984D8000 \SystemRoot\System32\DRIVERS\srv2.sys

  0x98527000 \SystemRoot\System32\DRIVERS\srv.sys

  0x985E2000 \SystemRoot\system32\DRIVERS\asyncmac.sys

  0x93200000 \SystemRoot\System32\cdd.dll

  0x771C0000 \Windows\System32\ntdll.dll

  0x47E90000 \Windows\System32\smss.exe

  0x77400000 \Windows\System32\apisetschema.dll

  0x00AB0000 \Windows\System32\autochk.exe

  0x77390000 \Windows\System32\difxapi.dll

  0x77120000 \Windows\System32\usp10.dll

  0x76F80000 \Windows\System32\setupapi.dll

  0x77330000 \Windows\System32\shlwapi.dll

  0x77320000 \Windows\System32\normaliz.dll

  0x76F40000 \Windows\System32\ws2_32.dll

  0x76E90000 \Windows\System32\rpcrt4.dll

  0x76E10000 \Windows\System32\comdlg32.dll

  0x77310000 \Windows\System32\nsi.dll

  0x76DE0000 \Windows\System32\imagehlp.dll

  0x76D10000 \Windows\System32\user32.dll

  0x76C10000 \Windows\System32\wininet.dll

  0x76A10000 \Windows\System32\iertutil.dll

  0x76940000 \Windows\System32\msctf.dll

  0x77300000 \Windows\System32\lpk.dll

  0x76930000 \Windows\System32\psapi.dll

  0x767D0000 \Windows\System32\ole32.dll

  0x76690000 \Windows\System32\urlmon.dll

  0x76670000 \Windows\System32\imm32.dll

  0x76620000 \Windows\System32\Wldap32.dll

  0x759D0000 \Windows\System32\shell32.dll

  0x75930000 \Windows\System32\advapi32.dll

  0x75880000 \Windows\System32\msvcrt.dll

  0x75860000 \Windows\System32\sechost.dll

  0x75810000 \Windows\System32\gdi32.dll

  0x75780000 \Windows\System32\clbcatq.dll

  0x756A0000 \Windows\System32\kernel32.dll

  0x75610000 \Windows\System32\oleaut32.dll

  0x755F0000 \Windows\System32\devobj.dll

  0x755A0000 \Windows\System32\KernelBase.dll

  0x75480000 \Windows\System32\crypt32.dll

  0x75450000 \Windows\System32\cfgmgr32.dll

  0x75420000 \Windows\System32\wintrust.dll

  0x75390000 \Windows\System32\comctl32.dll

  0x75380000 \Windows\System32\msasn1.dll
 

Processes (total 48):

       0 System Idle Process

       4 System

     288 C:\Windows\System32\smss.exe

     372 csrss.exe

     444 C:\Windows\System32\wininit.exe

     492 C:\Windows\System32\services.exe

     560 C:\Windows\System32\lsass.exe

     568 C:\Windows\System32\lsm.exe

     668 C:\Windows\System32\svchost.exe

     764 C:\Windows\System32\svchost.exe

     844 C:\Windows\System32\svchost.exe

     896 C:\Windows\System32\svchost.exe

     932 C:\Windows\System32\svchost.exe

    1084 C:\Windows\System32\svchost.exe

    1196 C:\Windows\System32\svchost.exe

    1352 C:\Windows\System32\spoolsv.exe

    1380 C:\Program Files\Avira\AntiVir Desktop\sched.exe

    1400 C:\Windows\System32\svchost.exe

    1712 C:\Program Files\Avira\AntiVir Desktop\avguard.exe

    1752 C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

    1868 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

    1876 C:\Windows\System32\conhost.exe

    1908 C:\Windows\System32\svchost.exe

    2084 C:\Windows\System32\svchost.exe

    2940 C:\Windows\System32\SearchIndexer.exe

    2984 C:\Windows\System32\svchost.exe

    2264 C:\Windows\System32\audiodg.exe

    2952 csrss.exe

     148 C:\Windows\System32\winlogon.exe

    3412 C:\Windows\System32\taskhost.exe

    2256 C:\Windows\System32\taskeng.exe

    2304 C:\Windows\Qnunia.exe

    1412 C:\Windows\System32\dwm.exe

    1416 C:\Windows\explorer.exe

     912 C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

    1288 C:\Program Files\Common Files\Java\Java Update\jusched.exe

    3364 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

    1764 C:\Program Files\TrueCrypt\TrueCrypt.exe

     676 C:\Program Files\OpenOffice.org 3\program\soffice.exe

    2284 C:\Program Files\OpenOffice.org 3\program\soffice.bin

    2740 C:\Program Files\Pidgin\pidgin.exe

    1136 C:\Program Files\Windows Media Player\wmpnetwk.exe

    2892 C:\Windows\System32\wuauclt.exe

    3624 C:\Windows\System32\SearchProtocolHost.exe

    2252 C:\Windows\System32\SearchFilterHost.exe

    1772 C:\Users\Heike\Desktop\MBRCheck.exe

    3944 C:\Windows\System32\conhost.exe

    2680 C:\Windows\System32\dllhost.exe
 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000  (NTFS)
 

PhysicalDrive0 Model Number: WDCWD2500AAJS-22B4A0, Rev: 01.03A01
 

      Size  Device Name          MBR Status

  --------------------------------------------

    232 GB  \\.\PhysicalDrive0   Unknown MBR code

            SHA1: AD41E7C6DCF67FE13B6DC99955620CB027DF99E9
 
 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Dowloade Dir bitte TDSS Killer.zip und speichere es am Desktop.
Extrahiere den Inhalt der Datei auf deinem Desktop.
Gehe sicher das die TDSSKiller.exe am Desktop ist. Nicht in einem Ordner.
- Schließe alle laufenden Programme.
- Trenne dich von Internet.
- Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Sollte die Meldung "Hidden service detected" schreiben keinesfalls irgendetwas hinein..Drücke nur ENTER !!!
Wenn das Tool fertig ist, poppt ein Fenster mit den Funden auf.
Dieses bitte einfach schließen.
Nun auf Report klicken.
Bitte poste mir den Inhalt hier in deinen Thread.
(auch zu finden unter C:\TDSSKiller<time_date>.txt)

hallo, hier der Report:

Code:

2011/02/15 19:17:51.0856 2340        TDSS rootkit removing tool 2.4.17.0 Feb 10 2011 11:07:20

2011/02/15 19:17:51.0871 2340        ================================================================================

2011/02/15 19:17:51.0871 2340        SystemInfo:

2011/02/15 19:17:51.0871 2340        

2011/02/15 19:17:51.0871 2340        OS Version: 6.1.7600 ServicePack: 0.0

2011/02/15 19:17:51.0871 2340        Product type: Workstation

2011/02/15 19:17:51.0871 2340        ComputerName: HEIKE-PC

2011/02/15 19:17:51.0871 2340        UserName: Heike

2011/02/15 19:17:51.0871 2340        Windows directory: C:\Windows

2011/02/15 19:17:51.0872 2340        System windows directory: C:\Windows

2011/02/15 19:17:51.0872 2340        Processor architecture: Intel x86

2011/02/15 19:17:51.0872 2340        Number of processors: 2

2011/02/15 19:17:51.0872 2340        Page size: 0x1000

2011/02/15 19:17:51.0872 2340        Boot type: Normal boot

2011/02/15 19:17:51.0872 2340        ================================================================================

2011/02/15 19:17:52.0076 2340        Initialize success

2011/02/15 19:17:57.0523 2936        ================================================================================

2011/02/15 19:17:57.0523 2936        Scan started

2011/02/15 19:17:57.0523 2936        Mode: Manual; 

2011/02/15 19:17:57.0523 2936        ================================================================================

2011/02/15 19:18:03.0021 2936        ================================================================================

2011/02/15 19:18:03.0021 2936        Scan finished

2011/02/15 19:18:03.0021 2936        ================================================================================

2011/02/15 19:18:24.0681 2732        ================================================================================

2011/02/15 19:18:24.0681 2732        Scan started

2011/02/15 19:18:24.0681 2732        Mode: Manual; 

2011/02/15 19:18:24.0681 2732        ================================================================================

2011/02/15 19:18:29.0897 2732        ================================================================================

2011/02/15 19:18:29.0898 2732        Scan finished

2011/02/15 19:18:29.0898 2732        ================================================================================

habe gerade gemerkt, dass ich nicht als administrator ausfegührt hatte. mache ich eben nochmal...

sieht aber glaube ich auch nicht anders aus:

Code:

2011/02/15 19:21:57.0568 3480        TDSS rootkit removing tool 2.4.17.0 Feb 10 2011 11:07:20

2011/02/15 19:21:57.0568 3480        ================================================================================

2011/02/15 19:21:57.0568 3480        SystemInfo:

2011/02/15 19:21:57.0568 3480        

2011/02/15 19:21:57.0568 3480        OS Version: 6.1.7600 ServicePack: 0.0

2011/02/15 19:21:57.0568 3480        Product type: Workstation

2011/02/15 19:21:57.0568 3480        ComputerName: HEIKE-PC

2011/02/15 19:21:57.0568 3480        UserName: Heike

2011/02/15 19:21:57.0568 3480        Windows directory: C:\Windows

2011/02/15 19:21:57.0568 3480        System windows directory: C:\Windows

2011/02/15 19:21:57.0568 3480        Processor architecture: Intel x86

2011/02/15 19:21:57.0568 3480        Number of processors: 2

2011/02/15 19:21:57.0568 3480        Page size: 0x1000

2011/02/15 19:21:57.0568 3480        Boot type: Normal boot

2011/02/15 19:21:57.0568 3480        ================================================================================

2011/02/15 19:21:57.0724 3480        Initialize success

2011/02/15 19:22:03.0169 2912        ================================================================================

2011/02/15 19:22:03.0169 2912        Scan started

2011/02/15 19:22:03.0169 2912        Mode: Manual; 

2011/02/15 19:22:03.0169 2912        ================================================================================

2011/02/15 19:22:08.0644 2912        ================================================================================

2011/02/15 19:22:08.0644 2912        Scan finished

2011/02/15 19:22:08.0644 2912        ================================================================================

Schritt 1

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

netsvcs

drivers32 /all

%SYSTEMDRIVE%\*.*

%systemroot%\system32\*.wt

%systemroot%\system32\*.ruy

%systemroot%\Fonts\*.com

%systemroot%\Fonts\*.dll

%systemroot%\Fonts\*.ini

%systemroot%\Fonts\*.ini2

%systemroot%\system32\spool\prtprocs\w32x86\*.*

%systemroot%\REPAIR\*.bak1

%systemroot%\REPAIR\*.ini

%systemroot%\system32\*.jpg

%systemroot%\*.scr

%systemroot%\*._sy

%APPDATA%\Adobe\Update\*.*

%ALLUSERSPROFILE%\Favorites\*.*

%APPDATA%\Microsoft\*.*

%PROGRAMFILES%\*.*

%APPDATA%\Update\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\ws2help.dll /md5

/md5start

explorer.exe

winlogon.exe

wininit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo,
bin etwas spät dran, aber kommt:

Malware Log:

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Datenbank Version: 5838
 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385
 

22.02.2011 12:29:24

mbam-log-2011-02-22 (12-29-24).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 137026

Laufzeit: 2 Minute(n), 31 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

OTL kommt gleich noch...