TR/Dropper.Gen bzw. Win32.ZBot im cinefacts Forum eingefangen

#1 Vorvorgestern Abend bin ich, wie sonst auch, per Firefox im cinefacts.de Forum unterwegs gewesen. Plötzlich kam beim Anklicken eines Threads eine Skript-Fehlermeldung und kurz darauf eine weitere Fehlermeldung bzgl. einer exe (ich glaube es war die vom Adobe Reader).
Danach kam eine Sicherheitswarnung vom Windows Sicherheitscenter, dass die Firewall deaktiviert ist und Antivir hat mit folgender Meldung angeschlagen:

In der Datei 'C:\WINDOWS\system32\sdra64.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Das Forum auf cinefacts.de war kurz darauf auch nicht erreichbar... Grund: "kurzzeitige Wartungsarbeiten"
Wie ich vorgestern gelesen habe, wurde cinefacts offensichtlich gehackt und viele andere bekamen auch Viren/Trojaner Meldungen. Allerdings konnte deren Virenscanner wohl die Gefahr abwenden.
Aktuell scheint es wohl allgemein eine sehr starke Trojaner/Malware-Welle im Internet zu geben...


Im Infobereich von der Taskleiste wurde auch kurz das Java Icon angezeigt.

Ich habe dann mal noch eine Rootkit-Suche bzw. einen Scan auf der Systempartition in Antivir angeworfen. Nachfolgend das Ergebnis:

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\
27b66ba2-742e9b13
[FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.AB.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcbc2f4.qua' verschoben!
C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\
1ee052b1-3f2a2f47
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcec322.qua' verschoben!
C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Thunderbird\Profiles\booupcrm.default\Cache\
722208D4d01
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b9bc2ef.qua' verschoben!
C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Thunderbird\Profiles\booupcrm.default\Cache\
72221D80d01
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48118b00.qua' verschoben!
C:\WINDOWS\system32\
sdra64.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bdbc321.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 3. Februar 2010 19:38
Benötigte Zeit: 21:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6053 Verzeichnisse wurden überprüft
137759 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
39 Dateien konnten nicht durchsucht werden
137715 Dateien ohne Befall
1088 Archive wurden durchsucht
62 Warnungen
239 Hinweise
677144 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



Nach einem manuellen Neustart des Rechners wurde direkt in einer Dos-Box wieder die verseuchte Datei aufgerufen (C:\WINDOWS\system32\sdra64.exe) und Antivir brachte wieder die folgende Meldung:

In der Datei 'C:\WINDOWS\system32\sdra64.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Ein Spybot Suchlauf brachte folgenden Fund mit 3 Einträgen, die aber von Spybot bereinigt werden konnten:
Win32.ZBot

Danach habe ich das LAN-Kabel gezogen und Spybot + Antivir deaktiviert, um GMER durchlaufen zu lassen. Folgendes Ergebnis kam dabei heraus:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-03 21:21:07
Windows 5.1.2600 Service Pack 3
Running: e13snq4g.exe; Driver: C:\DOKUME~1\XYZ\LOKALE~1\Temp\kwlyrkow.sys


---- System - GMER 1.0.15 ----

SSDT BA792E56 ZwCreateKey
SSDT BA792E4C ZwCreateThread
SSDT BA792E5B ZwDeleteKey
SSDT BA792E65 ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xB9ED3A92]
SSDT sptd.sys ZwEnumerateValueKey [0xB9ED3E20]
SSDT BA792E6A ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xB9ECE090]
SSDT BA792E38 ZwOpenProcess
SSDT BA792E3D ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xB9ED3EF8]
SSDT sptd.sys ZwQueryValueKey [0xB9ED3D78]
SSDT BA792E74 ZwReplaceKey
SSDT BA792E6F ZwRestoreKey
SSDT BA792E60 ZwSetValueKey
SSDT BA792E47 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.sfrelocÿÿÿÿsfsync04unknown last section [0xB9E74000, 0xBC6, 0x40000040] C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xB9E74000, 0xBC6, 0x40000040]
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB96E7000, 0x187662, 0xE8000020]
.text USBPORT.SYS!DllUnload B96738AC 5 Bytes JMP 8A8A41C8
? System32\Drivers\a42y7xxi.SYS Das System kann den angegebenen Pfad nicht finden. !
.text C:\WINDOWS\system32\drivers\ACEDRV05.sys section is writeable [0xAA66B000, 0x30A4A, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV05.sys entry point in ".pklstb" section [0xAA6AD000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV05.sys unknown last section [0xAA6C8000, 0x8E, 0x42000040]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xAA24A300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBA440300, 0x1B7E, 0xE8000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9ECEAB4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9ECEBFA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9ECEB7C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9ECF728] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9ECF5FE] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8AB4D1E8
Device \Driver\usbuhci \Device\USBPDO-0 8A8A31E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AADC1E8
Device \Driver\dmio \Device\DmControl\DmConfig 8AADC1E8
Device \Driver\dmio \Device\DmControl\DmPnP 8AADC1E8
Device \Driver\dmio \Device\DmControl\DmInfo 8AADC1E8
Device \Driver\usbehci \Device\USBPDO-1 8A8761E8
Device \Driver\usbuhci \Device\USBPDO-2 8A8A31E8
Device \Driver\usbuhci \Device\USBPDO-3 8A8A31E8
Device \Driver\usbuhci \Device\USBPDO-4 8A8A31E8
Device \Driver\prodrv06 \Device\ProDrv06 E20DCC30
Device \Driver\Ftdisk \Device\HarddiskVolume1 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\NetBT \Device\NetBT_Tcpip_{86D01B22-18A3-446A-BD9F-85E08A12AED5} 8A72D1E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom0 8A86A1E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom1 8A86A1E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort2 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort3 [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e [B9E0FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Ftdisk \Device\HarddiskVolume4 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Ftdisk \Device\HarddiskVolume5 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Ftdisk \Device\HarddiskVolume6 8AB4F1E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume6 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\prohlp02 \Device\ProHlp02 E10179A0
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A72D1E8
Device \Driver\usbhub \Device\00000083 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000084 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\NetBT \Device\NetbiosSmb 8A72D1E8
Device \Driver\usbhub \Device\00000085 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000086 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000087 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\PCI_NTPNP5262 \Device\0000005b sptd.sys
Device \Driver\usbhub \Device\00000088 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-0 8A8A31E8
Device \Driver\usbuhci \Device\USBFDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-1 8A8A31E8
Device \Driver\usbuhci \Device\USBFDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-2 8A8A31E8
Device \Driver\usbuhci \Device\USBFDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A7B8498
Device \Driver\usbuhci \Device\USBFDO-3 8A8A31E8
Device \Driver\usbuhci \Device\USBFDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A7B8498
Device \Driver\usbehci \Device\USBFDO-4 8A8761E8
Device \Driver\usbehci \Device\USBFDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\Ftdisk \Device\FtControl 8AB4F1E8
Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1 8A70A980
Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1Port4Path0Target0Lun0 8A70A980
Device \Driver\a42y7xxi \Device\Scsi\a42y7xxi1Port4Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Cdfs \Cdfs 8A75B868

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x1B 0xD9 0xC7 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x1B 0xD9 0xC7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xAB 0xC6 0xEF 0x63 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -999670597
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 258116861
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x34 0x7C 0x1F 0x5C ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 D:\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x0F 0x78 0xBF 0x2F ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x85 0x85 0xBC 0x1A ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x34 0x7C 0x1F 0x5C ...

---- EOF - GMER 1.0.15 ----






Nach einem anschließenden Neustart konnte ein weiterer Suchlauf von Spybot keine Probleme mehr feststellen. Da dachte ich zuerst, dass Spybot den Fiesling beseitigen konnte, denn auch ein weiterer Suchlauf von Antivir konnte nichts mehr finden.




Vorgestern folgte dann leider wieder die Ernüchterung. Nach dem Hochfahren des Rechners begrüßte mich Antivir wieder mit folgender Meldung:

In der Datei 'C:\WINDOWS\system32\sdra64.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Ein anschließender Komplettscan der Systempartition meldete, dass alles in Ordnung sei.

Der Scan von Spybot brachte dann wieder den Win32.ZBot zum Vorschein - dieses Mal allerdings mit 5 Einträgen, von denen einer nicht gefixt werden konnte.
Spybot hat dann vorgeschlagen den Rechner neuzustarten damit es das Problem direkt dann nach dem Windows Logon beheben könne. Gesagt getan... der Scan von Spybot dauerte dann ewig und er stellte dann den Win32.ZBot in der Datei C:\WINDOWS\system32\sdra64.exe fest. Danach lief der Scan grad wieder von vorne los... Spybot macht mir da nicht wirklich einen ausgereiften Eindruck.

So langsam frage ich mich, ob die Kombo Antivir + Spybot wirklich nichts taugt oder woran das sonst liegt. Die Kombo wird ja nicht gerade von wenigen Usern eingesetzt...

Gestern hatte ich dann den Rechner gar nicht an.

Heute habe ich Spybot nochmal suchen lassen und dieses Mal wurde nichts mehr gefunden.

Ein Komplettscan von Antivir (dieses Mal über alle Partitionen) brachte folgende Meldung:

Die Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ignoriert.

Danach habe ich einen erneuten Scan über die Systempartition gestartet, bei dem nichts mehr gefunden wurde.

Jetzt frage ich mich, ob der Virus/Trojaner jetzt komplett vernichtet wurde und ob das jetzt ein Rootkit war bzw. ob der Übeltäter etwas beschädigt hat?


Ich denke mal es wird am besten sein, wenn ich die Files in der Quarantäne von Antivir komplett lösche oder?

Beim Googeln bzgl. dieser Problematik habe ich gelesen, dass man die gefundenen Viren/Trojaner vom Virenscanner auf keinen Fall löschen lassen soll. Kennt hierfür jemand zufällig den Grund bzw. könnte sich das erklären?

Vorab schonmal vielen Dank, dass ihr euch überhaupt Zeit nehmt und meinen langen Text lest.

#2 meiner meinung nach taugt spybot nichts.
http://board.protecus.de/t23188.htm
abarbeiten, logs posten.

#3 Vielen Dank für deine Antwort.

Ich habe die Punkte mal soweit abgearbeitet.
Nachfolgend das Malwarebytes-Log (hätte nicht gedacht, dass es soviel findet, was Spybot nicht gefunden hat):

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.02.2010 17:59:45
mbam-log-2010-02-06 (17-59-38).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 114906
Laufzeit: 4 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\U.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.


Kann ich die gefundenen Sachen löschen lassen oder kann das zu Problemen in der Registry führen?

#4 Nachfolgend noch die Logs von DDS und OTL (müsste denen von HJT entsprechen):

Nachfolgend das DDS-Log:

DDS (Ver_09-12-01.01) - NTFSx86
Run by XYZ at 16:18:10,13 on 06.02.2010
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_17
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.901 [GMT 1:00]

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Avira\AntiVir Desktop\avguard.exe
D:\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Nuance\PDF Professional 5\PDFProFiltSrv.exe
C:\WINDOWS\System32\svchost.exe -k imgsvc
D:\VMware\VMware Server\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
"C:\WINDOWS\system32\svchost.exe"
C:\WINDOWS\Explorer.EXE
D:\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Nuance\PDF Professional 5\pdfpro5hook.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
D:\DAEMON Tools\daemon.exe
D:\HDD Health\HDDHealth.exe
D:\VMware\VMware Server\vmserverdWin32.exe
D:\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\XYZ\Desktop\dds.scr

============== Pseudo HJT Report ===============

uStart Page = about:blank
BHO: Octh Class: {000123b4-9b42-4900-b3f7-f4b073efc214} - d:\orbitdownloader\orbitcth.dll
BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelper.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - d:\spybot~1\SDHelper.dll
BHO: ZeonIEEventHelper Class: {da986d7d-ccaf-47b2-84fe-bfa1549bebf9} - d:\nuance\pdf professional 5\bin\ZeonIEFavClient.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
TB: Nuance PDF: {e3286bf1-e654-42ff-b4a6-5e111731df6b} - d:\nuance\pdf professional 5\bin\ZeonIEFavClient.dll
TB: Grab Pro: {c55bbcd6-41ad-48ad-9953-3609c48eacc7} - d:\orbitdownloader\GrabPro.dll
EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [SpybotSD TeaTimer] d:\spybot - search & destroy\TeaTimer.exe
uRun: [DAEMON Tools] "d:\daemon tools\daemon.exe" -lang 1033
uRun: [HDDHealth] d:\hdd health\HDDHealth.exe -wl
uRun: [AdobeUpdater] "c:\programme\gemeinsame dateien\adobe\updater5\AdobeUpdater.exe"
mRun: [TrueImageMonitor.exe] d:\acronis\trueimagehome\TrueImageMonitor.exe
mRun: [AcronisTimounterMonitor] d:\acronis\trueimagehome\TimounterMonitor.exe
mRun: [Acronis Scheduler2 Service] "c:\programme\gemeinsame dateien\acronis\schedule2\schedhlp.exe"
mRun: [OSSelectorReinstall] c:\programme\gemeinsame dateien\acronis\acronis disk director\oss_reinstall.exe
mRun: [QuickTime Task] "d:\quicktime\qttask.exe" -atboottime
mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe
mRun: [itype] "c:\programme\microsoft intellitype pro\itype.exe"
mRun: [StartCCC] "c:\programme\ati technologies\ati.ace\core-static\CLIStart.exe"
mRun: [PDFHook] d:\nuance\pdf professional 5\pdfpro5hook.exe
mRun: [PDF5 Registry Controller] d:\nuance\pdf professional 5\RegistryController.exe
mRun: [SSBkgdUpdate] "c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\SSBkgdupdate.exe" -Embedding -boot
mRun: [ISUSPM Startup] "c:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe" -startup
mRun: [ISUSScheduler] "c:\programme\gemeinsame dateien\installshield\updateservice\issch.exe" -start
mRun: [Nuance PDF Professional 5-reminder] "d:\nuance\pdf professional 5\ereg\ereg.exe" -r "c:\dokumente und einstellungen\all users\anwendungsdaten\nuance\pdf professional 5\ereg\Ereg.ini"
mRun: [avgnt] "d:\avira\antivir desktop\avgnt.exe" /min
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [SunJavaUpdateSched] "c:\programme\java\jre6\bin\jusched.exe"
mRun: [Adobe Reader Speed Launcher] "d:\adobe\reader 8.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [Nokia.PCSync] d:\nokia\nokia pc suite 6\PcSync2.exe /NoDialog
StartupFolder: c:\dokume~1\XYZ\startm~1\progra~1\autost~1\adobeg~ 1.lnk - c:\programme\gemeinsame dateien\adobe\calibration\Adobe Gamma Loader.exe
IE: &Download by Orbit - d:\orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - d:\orbitdownloader\orbitmxt.dll/204
IE: An vorhandene PDF-Datei anhängen - d:\nuance\pdf professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Do&wnload selected by Orbit - d:\orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - d:\orbitdownloader\orbitmxt.dll/202
IE: Inhalt der ausgewählten Links an vorhandene PDF-Datei anhängen - d:\nuance\pdf professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
IE: Linkinhalt an vorhandene PDF-Datei anhängen - d:\nuance\pdf professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
IE: Mit Nuance PDF Converter 5.0 öffnen - d:\nuance\pdf professional 5\cnvres_ger.dll /100
IE: Nach Microsoft &Excel exportieren - d:\micros~1\office11\EXCEL.EXE/3000
IE: PDF-Datei aus Linkinhalt erstellen - d:\nuance\pdf professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: PDF-Datei erstellen - d:\nuance\pdf professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
IE: PDF-Dateien aus den ausgewählten Links erstellen - d:\nuance\pdf professional 5\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
IE: Senden an &Bluetooth-Gerät... - d:\belkin\bluetooth software\btsendto_ie_ctx.htm
IE: {6224f700-cba3-4071-b251-47cb894244cd} - d:\icq\ICQ.exe
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - d:\belkin\bluetooth software\btsendto_ie.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - d:\micros~1\office11\REFIEBAR.DLL
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - d:\spybot~1\SDHelper.dll
DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} - hxxp://download.microsoft.com/download/d/c/8/dc8362b3-f410-4e7d-b672-209d6bd8fcea/OGAControl.cab
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172481964217
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} - hxxp://office.microsoft.com/officeupdate/content/opuc4.cab
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
TCP: {86D01B22-18A3-446A-BD9F-85E08A12AED5} = 192.168.1.1
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
LSA: Authentication Packages = msv1_0 relog_ap
Hosts: 127.0.0.1 www.spywareinfo.com

================= FIREFOX ===================

FF - ProfilePath - c:\dokume~1\XYZ\anwend~1\mozilla\firefox\profiles\ g08e79vn.default\
FF - prefs.js: browser.search.selectedEngine - OFDB - Titel
FF - prefs.js: browser.startup.homepage - hxxp://start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:de-DEfficial
FF - component: d:\orbitdownloader\addons\oneclickyoutubedownloade r\components\GrabXpcom.dll
FF - plugin: d:\adobe\reader 8.0\reader\browser\nppdf32.dll
FF - plugin: d:\quicktime\plugins\npqtplugin.dll
FF - plugin: d:\quicktime\plugins\npqtplugin2.dll
FF - plugin: d:\quicktime\plugins\npqtplugin3.dll
FF - plugin: d:\quicktime\plugins\npqtplugin4.dll
FF - plugin: d:\quicktime\plugins\npqtplugin5.dll
FF - plugin: d:\quicktime\plugins\npqtplugin6.dll
FF - plugin: d:\quicktime\plugins\npqtplugin7.dll
FF - plugin: d:\real alternative\browser\plugins\nppl3260.dll
FF - plugin: d:\real alternative\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\
FF - HiddenExtension: Java Console: No Registry Reference - d:\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - d:\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
d:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

============= SERVICES / DRIVERS ===============

R1 avgio;avgio;d:\avira\antivir desktop\avgio.sys [2009-3-22 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\avira\antivir desktop\sched.exe [2009-3-22 108289]
R2 AntiVirService;Avira AntiVir Guard;d:\avira\antivir desktop\avguard.exe [2009-3-22 185089]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgn tflt.sys [2009-3-22 56816]
R2 PDFProFiltSrv;PDFProFiltSrv;d:\nuance\pdf professional 5\PDFProFiltSrv.exe [2008-2-2 144672]
R2 vmserverdWin32;VMware Registration Service;d:\vmware\vmware server\vmserverdWin32.exe [2007-4-12 1646685]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfil t.sys [2009-9-24 1684736]

=============== Created Last 30 ================

2010-02-03 17:43:39 0 d-----w- c:\windows\system32\lowsec
2010-02-03 17:43:35 26624 ----a-w- c:\windows\system32\stu2.exe
2010-02-03 17:43:35 13312 ----a-w- C:\U.exe
2010-01-26 18:29:01 515416 ----a-w- c:\windows\system32\XAudio2_5.dll
2010-01-26 18:29:01 238936 ----a-w- c:\windows\system32\xactengine3_5.dll
2010-01-26 18:29:00 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll
2010-01-19 19:36:52 0 d-----w- c:\dokume~1\XYZ\anwend~1\TMNT

==================== Find3M ====================

2010-01-19 19:40:55 108144 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-12-30 15:38:30 81318 ----a-w- c:\windows\system32\perfc007.dat
2009-12-30 15:38:30 451484 ----a-w- c:\windows\system32\perfh007.dat
2009-12-21 19:05:02 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-22 18:04:24 319 ----a-w- C:\drmHeader.bin
2007-02-28 09:37:52 448 -c--a-w- c:\programme\INSTALL.LOG
2007-01-24 00:33:11 32768 -csha-w- c:\windows\system32\config\systemprofile\lokale einstellungen\verlauf\history.ie5\mshist0120070124 20070125\index.dat

============= FINISH: 16:18:38,89 ===============


Nachfolgend das OTL-Log:
OTL logfile created on: 06.02.2010 17:07:35 - Run 1
OTL by OldTimer - Version 3.1.28.0 Folder = C:\Dokumente und Einstellungen\XYZ\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 43,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 72,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 20,00 Gb Total Space | 4,33 Gb Free Space | 21,63% Space Free | Partition Type: NTFS
Drive D: | 50,01 Gb Total Space | 9,91 Gb Free Space | 19,82% Space Free | Partition Type: NTFS
Drive E: | 10,00 Gb Total Space | 1,46 Gb Free Space | 14,58% Space Free | Partition Type: NTFS
Drive F: | 120,01 Gb Total Space | 2,98 Gb Free Space | 2,49% Space Free | Partition Type: NTFS
Drive G: | 100,01 Gb Total Space | 15,80 Gb Free Space | 15,79% Space Free | Partition Type: NTFS
Drive H: | 72,58 Gb Total Space | 12,26 Gb Free Space | 16,89% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded

Computer Name:
Current User Name:
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2010.02.06 17:05:21 | 000,549,376 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XYZ\Desktop\lichtinsdunkel.exe
PRC - [2010.01.06 22:08:12 | 000,908,248 | ---- | M] (Mozilla Corporation) -- D:\Mozilla Firefox\firefox.exe
PRC - [2009.12.07 16:25:47 | 000,470,785 | ---- | M] (Avira GmbH) -- d:\Avira\AntiVir Desktop\avcenter.exe
PRC - [2009.10.11 04:17:35 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jqs.exe
PRC - [2009.09.11 12:33:48 | 018,717,696 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\RTHDCPL.EXE
PRC - [2009.08.05 10:18:38 | 000,185,089 | ---- | M] (Avira GmbH) -- D:\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.06.09 18:56:12 | 000,108,289 | ---- | M] (Avira GmbH) -- D:\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- D:\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2009.03.02 12:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- D:\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.12 18:48:18 | 001,687,552 | ---- | M] (PANTERASoft) -- D:\HDD Health\hddhealth.exe
PRC - [2008.02.26 04:00:02 | 000,520,192 | ---- | M] (ATI Technologies Inc.) -- C:\WINDOWS\system32\ati2evxx.exe
PRC - [2008.02.02 01:20:40 | 000,795,936 | ---- | M] (Nuance Communications, Inc.) -- D:\Nuance\PDF Professional 5\PdfPro5Hook.exe
PRC - [2008.02.02 01:20:34 | 000,144,672 | ---- | M] (Nuance Communications, Inc.) -- D:\Nuance\PDF Professional 5\PDFProFiltSrv.exe
PRC - [2007.07.17 11:13:56 | 000,049,152 | ---- | M] (Advanced Micro Devices Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
PRC - [2007.07.17 11:13:34 | 000,049,152 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
PRC - [2007.04.12 19:05:04 | 001,646,685 | ---- | M] (VMware, Inc.) -- D:\VMware\VMware Server\vmserverdWin32.exe
PRC - [2007.04.12 19:05:04 | 000,151,643 | ---- | M] (VMware, Inc.) -- D:\VMware\VMware Server\vmware-authd.exe
PRC - [2007.04.12 19:05:04 | 000,135,168 | ---- | M] (VMware, Inc.) -- C:\WINDOWS\system32\vmnat.exe
PRC - [2007.04.12 19:05:04 | 000,106,496 | ---- | M] (VMware, Inc.) -- C:\WINDOWS\system32\vmnetdhcp.exe
PRC - [2007.03.23 09:02:52 | 000,269,104 | ---- | M] (VMware, Inc.) -- C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
PRC - [2006.11.21 17:08:58 | 000,813,912 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft IntelliType Pro\itype.exe
PRC - [2006.11.12 11:48:46 | 000,157,592 | ---- | M] (DT Soft Ltd.) -- D:\DAEMON Tools\daemon.exe
PRC - [2006.10.18 15:29:44 | 001,962,896 | ---- | M] (Acronis) -- D:\Acronis\TrueImageHome\TimounterMonitor.exe
PRC - [2006.10.18 15:23:48 | 001,189,920 | ---- | M] (Acronis) -- D:\Acronis\TrueImageHome\TrueImageMonitor.exe
PRC - [2006.10.17 11:47:22 | 000,087,584 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2006.10.17 11:47:16 | 000,230,944 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2006.06.07 15:57:46 | 000,266,295 | ---- | M] (Broadcom Corporation.) -- D:\Belkin\Bluetooth Software\bin\btwdins.exe
PRC - [2005.08.11 14:30:30 | 000,081,920 | ---- | M] (Macrovision Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - [2010.02.06 17:05:21 | 000,549,376 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XYZ\Desktop\lichtinsdunkel.exe
MOD - [2006.05.03 21:53:54 | 000,174,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\framedyn.dll


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - [2009.10.11 04:17:35 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) [Auto | Running] -- C:\Programme\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009.08.05 10:18:38 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- D:\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.06.09 18:56:12 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- D:\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.02.26 04:00:02 | 000,520,192 | ---- | M] (ATI Technologies Inc.) [Auto | Running] -- C:\WINDOWS\system32\ati2evxx.exe -- (Ati HotKey Poller)
SRV - [2008.02.25 21:05:00 | 000,593,920 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\ati2sgag.exe -- (ATI Smart)
SRV - [2008.02.02 01:20:34 | 000,144,672 | ---- | M] (Nuance Communications, Inc.) [Auto | Running] -- D:\Nuance\PDF Professional 5\PDFProFiltSrv.exe -- (PDFProFiltSrv)
SRV - [2007.06.15 15:55:00 | 000,300,544 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2007.04.15 10:21:41 | 000,072,704 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2007.04.12 19:05:04 | 001,646,685 | ---- | M] (VMware, Inc.) [Auto | Running] -- D:\VMware\VMware Server\vmserverdWin32.exe -- (vmserverdWin32)
SRV - [2007.04.12 19:05:04 | 000,151,643 | ---- | M] (VMware, Inc.) [Auto | Running] -- D:\VMware\VMware Server\vmware-authd.exe -- (VMAuthdService)
SRV - [2007.04.12 19:05:04 | 000,135,168 | ---- | M] (VMware, Inc.) [Auto | Running] -- C:\WINDOWS\system32\vmnat.exe -- (VMware NAT Service)
SRV - [2007.04.12 19:05:04 | 000,106,496 | ---- | M] (VMware, Inc.) [Auto | Running] -- C:\WINDOWS\system32\vmnetdhcp.exe -- (VMnetDHCP)
SRV - [2007.03.23 09:02:52 | 000,269,104 | ---- | M] (VMware, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe -- (vmount2)
SRV - [2006.10.17 11:47:16 | 000,230,944 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2006.06.07 15:57:46 | 000,266,295 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- D:\Belkin\Bluetooth Software\bin\btwdins.exe -- (btwdins)
SRV - [2005.11.14 01:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.selectedEngine: "OFDB - Titel"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:de-DEfficial"
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.8
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {39379F86-9CCB-4724-AE33-4278DE266C88}:1.0.1

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: D:\Mozilla Firefox\components [2010.01.06 22:08:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: D:\Mozilla Firefox\plugins [2010.02.06 14:35:27 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.1\extensions\\Components: D:\Mozilla Thunderbird\components [2010.01.22 16:43:34 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.1\extensions\\Plugins: D:\Mozilla Thunderbird\plugins [2010.02.06 14:35:27 | 000,000,000 | ---D | M]

[2009.12.23 16:46:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Mozilla\Extensio ns
[2009.12.23 16:46:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Mozilla\Extensio ns\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2007.02.26 14:26:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Mozilla\Firefox\ Profiles\bc3cptuj.default\extensions
[2010.02.06 12:48:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Mozilla\Firefox\ Profiles\g08e79vn.default\extensions
[2010.01.13 17:09:33 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Mozilla\Firefox\ Profiles\g08e79vn.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
[2007.11.01 18:00:02 | 000,001,924 | ---- | M] () -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Mozilla\Firefox\ Profiles\g08e79vn.default\searchplugins\froogle-de.xml
[2010.02.06 12:48:49 | 000,002,019 | ---- | M] () -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Mozilla\Firefox\ Profiles\g08e79vn.default\searchplugins\leo-de-en.xml
[2008.05.20 20:46:03 | 000,001,636 | ---- | M] () -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Mozilla\Firefox\ Profiles\g08e79vn.default\searchplugins\ofdb-film-suche.xml

O1 HOSTS File: ([2010.02.01 20:40:58 | 000,378,739 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.123topsearch.com
O1 - Hosts: 127.0.0.1 123topsearch.com
O1 - Hosts: 127.0.0.1 www.132.com
O1 - Hosts: 127.0.0.1 132.com
O1 - Hosts: 127.0.0.1 www.136136.net
O1 - Hosts: 127.0.0.1 136136.net
O1 - Hosts: 127.0.0.1 www.163ns.com
O1 - Hosts: 127.0.0.1 163ns.com
O1 - Hosts: 13052 more lines...
O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Orbitdownloader\orbitcth.dll (Orbitdownloader.com)
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (ZeonIEEventHelper Class) - {DA986D7D-CCAF-47B2-84FE-BFA1549BEBF9} - D:\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll (Zeon Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Orbitdownloader\GrabPro.dll ()
O3 - HKLM\..\Toolbar: (Nuance PDF) - {E3286BF1-E654-42FF-B4A6-5E111731DF6B} - D:\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll (Zeon Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Orbitdownloader\GrabPro.dll ()
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [AcronisTimounterMonitor] D:\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] D:\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] D:\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe (Macrovision Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (Macrovision Corporation)
O4 - HKLM..\Run: [itype] C:\Programme\Microsoft IntelliType Pro\itype.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [Nuance PDF Professional 5-reminder] D:\Nuance\PDF Professional 5\Ereg\Ereg.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe ()
O4 - HKLM..\Run: [PDF5 Registry Controller] D:\Nuance\PDF Professional 5\RegistryController.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [PDFHook] D:\Nuance\PDF Professional 5\PdfPro5Hook.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [QuickTime Task] D:\QuickTime\qttask.exe (Apple Computer, Inc.)
O4 - HKLM..\Run: [RTHDCPL] C:\WINDOWS\RTHDCPL.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] D:\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKCU..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe (Adobe Systems Incorporated)
O4 - HKCU..\Run: [DAEMON Tools] D:\DAEMON Tools\daemon.exe (DT Soft Ltd.)
O4 - HKCU..\Run: [HDDHealth] D:\HDD Health\HDDHealth.exe (PANTERASoft)
O4 - HKCU..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\XYZ\Startmenü\Programme\Autostart\Ad obe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &Download by Orbit - D:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: &Grab video by Orbit - D:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: An vorhandene PDF-Datei anhängen - D:\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Do&wnload selected by Orbit - D:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: Down&load all by Orbit - D:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: Inhalt der ausgewählten Links an vorhandene PDF-Datei anhängen - D:\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Linkinhalt an vorhandene PDF-Datei anhängen - D:\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Mit Nuance PDF Converter 5.0 öffnen - D:\Nuance\PDF Professional 5\cnvres_ger.dll (Nuance Communications, Inc.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - D:\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: PDF-Datei aus Linkinhalt erstellen - D:\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: PDF-Datei erstellen - D:\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: PDF-Dateien aus den ausgewählten Links erstellen - D:\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - D:\Belkin\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra Button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\Icq.exe (ICQ Inc.)
O9 - Extra 'Tools' menuitem : ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\Icq.exe (ICQ Inc.)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Belkin\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Belkin\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O15 - HKLM\..Trusted Domains: 65 domain(s) and sub-domain(s) not assigned to a zone.
O15 - HKCU\..Trusted Domains: 64 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} http://download.microsoft.com/downlo...OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsu...?1172481964217 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} http://office.microsoft.com/officeup...tent/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_17)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1 .bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1 .bmp
O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2007.02.26 10:09:58 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 14 Days ==========[/color]

[2010.02.06 17:05:20 | 000,549,376 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XYZ\Desktop\lichtinsdunkel.exe
[2010.02.06 14:34:05 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.02.06 09:45:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
[2010.02.03 18:43:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\lowsec
[2010.01.31 11:58:32 | 025,597,480 | ---- | C] (Acresso Software Inc.) -- C:\Dokumente und Einstellungen\XYZ\Desktop\WISOSparbuch2010Update17 6602.exe
[2010.01.26 21:17:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\Rockstar Games
[2010.01.26 19:28:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs
[2007.10.13 14:49:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2007.02.26 10:12:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2007.02.26 10:09:44 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Micro soft
[2007.02.26 10:09:44 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microso ft
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 14 Days ==========[/color]

[2010.02.06 17:05:21 | 000,549,376 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XYZ\Desktop\lichtinsdunkel.exe
[2010.02.06 16:16:59 | 000,524,288 | ---- | M] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\dds.scr
[2010.02.06 14:35:53 | 000,000,014 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AdobeUpdater.rbt
[2010.02.06 14:35:28 | 000,001,514 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 8.lnk
[2010.02.06 14:33:56 | 020,971,520 | -H-- | M] () -- C:\Dokumente und Einstellungen\XYZ\NTUSER.DAT
[2010.02.06 11:32:01 | 000,022,016 | ---- | M] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\zeit.xls
[2010.02.06 09:45:01 | 000,013,002 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.02.06 09:44:17 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.02.06 09:44:14 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.02.04 22:41:07 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\XYZ\ntuser.ini
[2010.02.04 20:15:40 | 000,000,202 | ---- | M] () -- C:\WINDOWS\WININIT.INI
[2010.02.04 19:53:00 | 000,000,049 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.02.03 20:45:03 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\e13snq4g.exe
[2010.02.03 19:47:59 | 000,013,312 | ---- | M] () -- C:\U.exe
[2010.02.03 18:44:59 | 000,001,065 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2010.02.01 21:03:41 | 000,000,282 | ---- | M] () -- C:\WINDOWS\tasks\Spybot - Search & Destroy Updater - Scheduled Task.job
[2010.02.01 20:40:58 | 000,378,739 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.01.31 12:00:24 | 025,597,480 | ---- | M] (Acresso Software Inc.) -- C:\Dokumente und Einstellungen\XYZ\Desktop\WISOSparbuch2010Update17 6602.exe
[2010.01.26 19:28:01 | 000,000,471 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Manhunt 2.lnk
[2010.01.24 21:44:33 | 000,032,256 | ---- | M] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\arbeitszeugnis-draft-alt.doc
[2010.01.24 21:41:06 | 000,032,256 | ---- | M] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\arbeitszeugnis-draft-neu.doc
[2010.01.24 16:29:08 | 000,374,571 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100201-204058.backup
[2010.01.24 13:40:30 | 000,030,208 | ---- | M] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\arbeitszeugnis.doc
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.02.06 16:16:59 | 000,524,288 | ---- | C] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\dds.scr
[2010.02.06 14:35:53 | 000,000,014 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AdobeUpdater.rbt
[2010.02.06 14:35:27 | 000,001,514 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 8.lnk
[2010.02.03 20:45:02 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\e13snq4g.exe
[2010.02.03 18:43:35 | 000,013,312 | ---- | C] () -- C:\U.exe
[2010.02.01 21:00:43 | 000,000,282 | ---- | C] () -- C:\WINDOWS\tasks\Spybot - Search & Destroy Updater - Scheduled Task.job
[2010.01.26 19:28:01 | 000,000,471 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mh2.lnk
[2010.01.24 21:44:32 | 000,032,256 | ---- | C] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\arbeitszeugnis-draft-alt.doc
[2010.01.24 13:40:30 | 000,030,208 | ---- | C] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\arbeitszeugnis.doc
[2010.01.24 13:40:05 | 000,032,256 | ---- | C] () -- C:\Dokumente und Einstellungen\XYZ\Desktop\arbeitszeugnis-draft-neu.doc
[2009.12.01 20:55:28 | 000,000,290 | ---- | C] () -- C:\WINDOWS\game.ini
[2009.08.20 22:56:35 | 000,150,096 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.06.14 11:11:20 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2009.06.14 11:04:58 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009.03.14 18:18:15 | 000,000,740 | ---- | C] () -- C:\WINDOWS\SIERRA.INI
[2009.03.14 17:30:19 | 000,000,023 | ---- | C] () -- C:\WINDOWS\autoagf.Ini
[2009.01.10 13:07:14 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\H@tKeysH@@k.DLL
[2008.12.30 21:52:14 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2008.12.20 20:33:25 | 000,015,360 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll
[2008.12.20 19:03:12 | 000,000,357 | ---- | C] () -- C:\WINDOWS\DESKADV.INI
[2008.12.20 19:03:01 | 000,002,552 | ---- | C] () -- C:\WINDOWS\WAVEMIX.INI
[2008.02.05 19:51:53 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2007.10.13 16:14:10 | 000,008,091 | ---- | C] () -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\NMM-MetaData.db
[2007.07.27 15:13:53 | 000,040,960 | R--- | C] () -- C:\WINDOWS\System32\psfind.dll
[2007.07.23 09:03:32 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2007.07.23 09:03:32 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2007.07.23 09:03:32 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2007.03.30 07:35:47 | 000,001,759 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2007.03.29 22:00:40 | 000,203,264 | R--- | C] () -- C:\WINDOWS\System32\CddbCdda.dll
[2007.03.21 07:40:54 | 000,271,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2007.03.21 07:40:54 | 000,018,048 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2007.02.28 10:37:51 | 000,000,448 | ---- | C] () -- C:\Programme\INSTALL.LOG
[2007.02.27 18:41:10 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.02.27 18:33:49 | 000,646,392 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2007.02.26 18:43:56 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.02.26 18:34:05 | 000,001,065 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2007.02.26 15:38:39 | 000,198,656 | ---- | C] () -- C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.02.26 14:45:00 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.02.26 14:05:23 | 000,000,202 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2007.01.30 06:03:40 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2007.01.23 15:15:22 | 000,676,224 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL
[2006.12.12 17:24:42 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006.06.07 15:52:08 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll
[2005.05.23 19:58:16 | 000,338,944 | ---- | C] () -- C:\WINDOWS\System32\Lffpx7.dll
[2005.05.23 19:58:16 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\Lfkodak.dll
[2005.02.17 11:41:32 | 000,000,603 | ---- | C] () -- C:\WINDOWS\System32\BTNeighborhood.dll.manifest
[2005.02.17 11:41:30 | 000,000,593 | ---- | C] () -- C:\WINDOWS\System32\btcss.dll.manifest
[2001.11.14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
[1997.11.17 17:13:16 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll

[color=#E56717]========== LOP Check ==========[/color]

[2007.02.26 15:22:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2007.10.13 14:00:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2009.03.15 09:57:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MinigolfAdventures
[2008.07.28 16:49:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance
[2007.10.13 14:48:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2009.09.10 10:19:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2009.11.01 14:44:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WildTangent
[2008.07.28 16:49:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zeon
[2007.07.08 16:45:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Alien Skin
[2008.03.23 11:24:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Bioshock
[2009.10.17 16:25:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Canon
[2009.11.21 11:44:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\GrabPro
[2007.02.28 10:37:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\ICQ
[2007.05.20 14:26:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\iGrafx
[2007.10.13 16:14:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Nokia
[2007.10.13 15:42:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Nokia Multimedia Player
[2007.03.07 11:57:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\OfficeUpdate12
[2009.11.29 12:03:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Orbit
[2007.10.13 15:08:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\PC Suite
[2009.11.01 11:34:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Samsung
[2008.07.28 16:51:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\ScanSoft
[2008.12.20 17:33:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\ScummVM
[2009.05.11 19:08:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\TeamViewer
[2009.12.23 16:46:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Thunderbird
[2010.01.19 20:43:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\TMNT
[2008.07.28 16:50:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XYZ\Anwendungsdaten\Zeon

[color=#E56717]========== Purity Check ==========[/color]


< End of report >

Hier noch der Inhalt der zweiten OTL-Log:
OTL Extras logfile created on: 06.02.2010 17:07:35 - Run 1
OTL by OldTimer - Version 3.1.28.0 Folder = C:\Dokumente und Einstellungen\XYZ\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 43,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 72,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 20,00 Gb Total Space | 4,33 Gb Free Space | 21,63% Space Free | Partition Type: NTFS
Drive D: | 50,01 Gb Total Space | 9,91 Gb Free Space | 19,82% Space Free | Partition Type: NTFS
Drive E: | 10,00 Gb Total Space | 1,46 Gb Free Space | 14,58% Space Free | Partition Type: NTFS
Drive F: | 120,01 Gb Total Space | 2,98 Gb Free Space | 2,49% Space Free | Partition Type: NTFS
Drive G: | 100,01 Gb Total Space | 15,80 Gb Free Space | 15,79% Space Free | Partition Type: NTFS
Drive H: | 72,58 Gb Total Space | 12,26 Gb Free Space | 16,89% Space Free | Partition Type: NTFS
I: Drive not present or media not loaded

Computer Name:
Current User Name:
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Programme\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
http [open] -- "D:\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "D:\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "D:\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "D:\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "D:\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
"D:\ICQ\Icq.exe" = D:\ICQ\Icq.exe:*:Enabled:ICQ -- (ICQ Inc.)
"D:\Mozilla Firefox\firefox.exe" = D:\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Dokumente und Einstellungen\XYZ\temp\TeamViewer\Version4\TeamVie wer.exe" = C:\Dokumente und Einstellungen\XYZ\temp\TeamViewer\Version4\TeamVie wer.exe:*:Enabled:TeamViewer Remote Control Application -- (TeamViewer GmbH)
"C:\Dokumente und Einstellungen\XYZ\temp\TeamViewer3\TeamViewer.exe" = C:\Dokumente und Einstellungen\XYZ\temp\TeamViewer3\TeamViewer.exe: *:Enabled:TeamViewer Remote Control Application -- (TeamViewer GmbH)
"D:\Orbitdownloader\orbitdm.exe" = D:\Orbitdownloader\orbitdm.exe:*:Enabledrbit -- (Orbitdownloader.com)
"D:\Orbitdownloader\orbitnet.exe" = D:\Orbitdownloader\orbitnet.exe:*:Enabledrbit -- (Orbitdownloader.com)
"C:\Programme\Internet Explorer\iexplore.exe" = C:\Programme\Internet Explorer\iexplore.exe:*isabled:Internet Explorer -- (Microsoft Corporation)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{035E858B-2E6E-7AC7-16A9-41506F698D1E}" = Catalyst Control Center Graphics Full New
"{03CAB33F-D1C2-48C6-8766-DAE84DFC25FE}" = Microsoft Sync Framework Services v1.0 (x86)
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{068724F8-D8BE-4B43-8DDD-B9FE9E49FD76}" = Scansoft PDF Professional
"{11964613-805F-432D-A12B-169554B793E7}" = Nokia Connectivity Cable Driver
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{2300EE96-0A41-4FAB-BD03-989EC44577A0}" = Acronis*Disk Director Suite
"{236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 17
"{2F06D374-97CE-D8FB-9383-73150A2382DF}" = CCC Help English
"{2F93BFDD-EECE-924B-54ED-B0896F03D758}" = Catalyst Control Center Graphics Previews Common
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3F4EC965-28EF-45C3-B063-04B25D4E9679}" = Belkin Bluetooth Software
"{412B69AF-C352-4F6F-A318-B92B3CB9ACC6}" = Titan Quest
"{419CF344-3D94-4DAD-99C8-EA7B00E5EA8B}" = Acronis*True*Image*Home
"{45235788-142C-44BE-8A4D-DDE9A84492E5}" = AGEIA PhysX v7.09.13
"{4BF1D2E7-F003-4AD9-9820-525126BA9038}" = Gotcha!
"{4FA944D6-623E-EBBD-47D7-CE02A28C0796}" = Catalyst Control Center Graphics Light
"{62A5F5BC-CDAC-4F44-A2A9-C30A1BCBCA6B}" = CIB pdf Plug-in 1.3.25
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{77654E99-F083-ED32-B326-118741828039}" = Catalyst Control Center Graphics Full Existing
"{786C5747-0C40-4930-9AFE-113BCE553101}" = Adobe Stock Photos 1.0
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{87CA98F3-0A13-77FE-A9F0-2AB1F28D741A}" = ccc-core-preinstall
"{8C8BC74F-E17F-4D59-D098-2F90BB9AE9E0}" = Skins
"{8EDBA74D-0686-4C99-BFDD-F894678E5101}" = Adobe Common File Installer
"{90150407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Access 2003
"{91120407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{99A40651-0BC2-4095-8F9A-A40FAB224FEF}" = PC Connectivity Solution
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B5337F7-0444-5607-A397-909EFEFA7CFF}" = Catalyst Control Center Core Implementation
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A8BD5A60-E843-46DC-8271-ABF20756BE0F}" = Microsoft Sync Framework Runtime v1.0 (x86)
"{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}" = Nokia PC Suite
"{AC76BA86-7AD7-1031-7B44-A82000000003}" = Adobe Reader 8.2.0 - Deutsch
"{AC76BA86-7AD7-5464-3428-800000000003}" = Spelling Dictionaries Support For Adobe Reader 8
"{B3583D27-C12A-483E-98B8-235506F71502}" = TMNT
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B5C5C17E-FEF6-4062-8151-A427AE8AF9D7}" = Titan Quest Immortal Throne
"{B6A51892-D4A5-616B-4489-44B790179455}" = ccc-utility
"{B74D4E10-6884-0000-0000-000000000101}" = Adobe Bridge 1.0
"{B7F54262-AB66-44B3-88BF-9FC69941B643}" = Broadcom Gigabit Integrated Controller
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C0CB32ED-02A4-6705-79EB-A71EDE5628A6}" = Minigolf Adventures
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C73A3AB4-99A4-45E5-B77F-09A3065E0D6A}" = Microsoft IntelliType Pro 6.1
"{CB20D3BC-6C7C-A9CA-D679-914240CDA0D3}" = ccc-core-static
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D972F309-7376-4B25-10AA-04C80B84E0F4}" = iGrafx 2005
"{E9787678-119F-4D52-B551-6739B2B22101}" = Adobe Help Center 1.0
"{EBFF3839-5A5B-400A-B8A2-4A627C4B29B4}" = Nuance PDF Professional 5
"{F07B861C-72B9-40A4-8B1A-AAED4C06A7E8}" = QuickTime
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FDBBAF14-5ED8-49B7-A5BE-1C35668B074D}" = Unreal Tournament 3 (LG)
"{FEE84D71-7FF0-46C1-AED4-1BD821D53A9F}" = VMware Server
"0C5EDC3653FED5B121F464339EAC12534D253B25" = Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1)
"4077F884D1BB007055BDB83B621D87220A73F30F" = Windows-Treiberpaket - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0)
"6194C28A8F62DD817EA1B918E6E46E806A21B452" = Windows-Treiberpaket - MobileTop (sshpmdm) Modem (02/23/2007 2.5.0.0)
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB (02/23/2007 2.5.0.0)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop CS2 - {236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2
"All ATI Software" = ATI - Software Uninstall Utility
"Anti-Twin 2009-01-10 09.41.36" = Anti-Twin (Installation 10.01.2009)
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"B726756F5B5A5AA9D798B399386FC6205A45F19E" = Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1)
"CD8424B9400BFF7D34AA18F816C71322AC4BDAA7" = Windows-Treiberpaket - Nokia Modem (05/24/2007 6.84.0.1)
"Family Fun 3D Minigolf deLuxe" = Family Fun 3D Minigolf deLuxe
"HDD Health_is1" = HDD Health v3.3 Beta
"ICQ" = ICQ
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
"InstallShield_{931C37FC-594D-43A9-B10F-A2F2B1F03498}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
"IrfanView" = IrfanView (remove only)
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"Mozilla Thunderbird (3.0.1)" = Mozilla Thunderbird (3.0.1)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NAVIGON Fresh" = NAVIGON Fresh 2.0.0
"Nero - Burning Rom!UninstallKey" = Nero 6
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Nokia PC Suite" = Nokia PC Suite
"Orbit_is1" = Orbit Downloader
"RealAlt_is1" = Real Alternative 1.51
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"ScummVM_is1" = ScummVM 0.12.0
"Shadowgrounds_is1" = Shadowgrounds
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
"Sierra Uninstall" = Sierra On-Line Games (Remove only)
"Silverfall" = Silverfall
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.5.2.20
"Sweet Home 3D_is1" = Sweet Home 3D version 1.5.1
"VLC media player" = VLC media player 1.0.3
"Winamp" = Winamp (remove only)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01005" = Microsoft User-Mode Driver Framework Feature Pack 1.5
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Uninstall]
"InstallShield_{FDBBAF14-5ED8-49B7-A5BE-1C35668B074D}" = Unreal Tournament 3 (LG)

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 31.10.2009 18:13:05 | Computer Name = XYZ | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ut3.exe, Version 0.0.0.0, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x00012afb.

Error - 31.10.2009 18:13:11 | Computer Name = XYZ | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ut3.exe, Version 0.0.0.0, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x00012afb.

Error - 31.10.2009 18:13:19 | Computer Name = XYZ | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ut3.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ut3.exe, Version 0.0.0.0, Fehleradresse 0x00ee4a62.

Error - 01.11.2009 06:30:43 | Computer Name = XYZ | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung UT3.exe, Version 0.0.0.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 07.11.2009 14:46:07 | Computer Name = XYZ | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ut3.exe, Version 0.0.0.0, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x00012afb.

Error - 07.11.2009 14:46:13 | Computer Name = XYZ | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ut3.exe, Version 0.0.0.0, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x00012afb.

Error - 07.11.2009 14:46:20 | Computer Name = XYZ | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ut3.exe, Version 0.0.0.0, fehlgeschlagenes
Modul ut3.exe, Version 0.0.0.0, Fehleradresse 0x00f0e6b2.

Error - 23.12.2009 11:45:04 | Computer Name = XYZ | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung thunderbird.exe, Version 1.8.20090.15674,
fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00011689.

Error - 30.12.2009 11:46:57 | Computer Name = XYZ | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung acrord32.exe, Version 8.1.0.137, fehlgeschlagenes
Modul msvcr80.dll, Version 8.0.50727.3053, Fehleradresse 0x000173f7.

Error - 30.01.2010 19:29:54 | Computer Name = XYZ | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ut3.exe, Version 0.0.0.0, fehlgeschlagenes
Modul manhunt2.exe, Version 0.0.0.0, Fehleradresse 0x00180563.

[ System Events ]
Error - 30.12.2009 11:37:22 | Computer Name = XYZ | Source = Service Control Manager | ID = 7023
Description = Der Dienst "WMI-Leistungsadapter" wurde mit folgendem Fehler beendet:
%%2147500037

Error - 03.02.2010 16:16:20 | Computer Name = XYZ | Source = DCOM | ID = 10010
Description = Der Server "{4991D34B-80A1-4291-83B6-3328366B9097}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 03.02.2010 16:19:04 | Computer Name = XYZ | Source = DCOM | ID = 10010
Description = Der Server "{4991D34B-80A1-4291-83B6-3328366B9097}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 03.02.2010 16:21:04 | Computer Name = XYZ | Source = DCOM | ID = 10010
Description = Der Server "{4991D34B-80A1-4291-83B6-3328366B9097}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error - 06.02.2010 07:36:25 | Computer Name = XYZ | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 06.02.2010 07:36:25 | Computer Name = XYZ | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 06.02.2010 07:51:14 | Computer Name = XYZ | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 30
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 06.02.2010 07:51:14 | Computer Name = XYZ | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 30 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.


< End of report >

#5 funde löschen bitte.
deinstaliere falls vorhanden:
Daemon Tools und Daemon Tools Lite
Alcohol 120% und 52%
AstroBurn
download
http://www.duplexsecure.com/download/SPTDinst-v162-x86.exe
klicke auf uninstall.
starte den pc neu, dann combofix ausführen.
log posten
ps
die programme kannst du wieder instalieren, wenn wir durch sind.

#6 Nachdem ich mich (mit freundlicher Unterstützung) an die Analyse der Infektion herangemacht und einiges zum Thema Viren/Trojaner gelesen habe, hier mal der aktuelle Stand:

Das damalige DDS-Log und OTL-Log habe ich mal als txt-Files hochgeladen:
http://www.file-upload.net/download-2259296/dds.txt.html
http://www.file-upload.net/download-2259300/otl1.txt.html
http://www.file-upload.net/download-2259304/otl2.txt.html

Am 06.02. hatte ich weitere Meldungen von AntiVir:
Um 14:39 Uhr:
In der Datei 'C:\WINDOWS\system32\userinit.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Obitel.13312A' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Um 15:35 Uhr:
In der Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Und um 16:38 Uhr nochmal:
In der Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Nachfolgend das Ergebnis des Secunia-Scans (bzgl. Sicherheitslücken durch "abgelaufene" Software-Versionen):
http://s2.imgimg.de/uploads/SecuniaLogeabe2fa6JPG.jpg

Vor dem Scan hatte ich schon Java auf die Version 17 aktualisiert. Zum Zeitpunkt der Infektion war noch Update 11 installiert.

Übersicht über die in Firefox installierten Plug-Ins:
http://www.file-upload.net/download-2259314/plugins.txt.html

Im Laufe des Tages (06.02.) hat der Trojaner, in dem Verzeichnis für die Systemwiederherstellung, sechs mal über den Tag verteilt folgende Meldung im AntiVir Ereignis-Log verursacht:

In der Datei 'C:\System Volume Information\_restore{47DF11BA-9130-411B-A4A9-3C6459813E1C}\RP786\A0134893.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Hier das Virustotal Ergebnis des eigentlichen Schädlings:

Datei sdra64.exe empfangen 2010.02.07 12:41:35 (UTC)
Status: Beendet
Ergebnis: 12/40 (30%)


Antivirus Version letzte aktualisierung Ergebnis

a-squared 4.5.0.50 2010.02.07 -
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.06 -
Avast 4.8.1351.0 2010.02.06 -
AVG 9.0.0.730 2010.02.07 PSW.Generic7.BHIC
BitDefender 7.2 2010.02.07 Trojan.Spy.Zbot.ELU
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.06 -
Comodo 3851 2010.02.07 -
DrWeb 5.0.1.12222 2010.02.07 -
eSafe 7.0.17.0 2010.02.04 -
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.06 -
F-Secure 9.0.15370.0 2010.02.07 Trojan.Spy.Zbot.ELU
Fortinet 4.0.14.0 2010.02.07 -
GData 19 2010.02.07 Trojan.Spy.Zbot.ELU
Ikarus T3.1.1.80.0 2010.02.07 -
Jiangmin 13.0.900 2010.02.07 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.07 Trojan-Spy.Win32.Zbot.aecv
McAfee 5884 2010.02.06 -
McAfee+Artemis 5884 2010.02.06 -
McAfee-GW-Edition 6.8.5 2010.02.06 Heuristic.LooksLike.Win32.SuspiciousPE.I!83
Microsoft 1.5406 2010.02.07 PWS:Win32/Zbot.gen!W
NOD32 4843 2010.02.07 -
Norman 6.04.03 2010.02.06 -
nProtect 2009.1.8.0 2010.02.07 -
Panda 10.0.2.2 2010.02.06 -
PCTools 7.0.3.5 2010.02.07 -
Prevx 3.0 2010.02.07 -
Rising 22.33.06.04 2010.02.07 Packer.Win32.UnkPacker.a
Sophos 4.50.0 2010.02.07 Sus/UnkPacker
Sunbelt 3.2.1858.2 2010.02.07 -
TheHacker 6.5.1.0.182 2010.02.07 -
TrendMicro 9.120.0.1004 2010.02.07 -
VBA32 3.12.12.1 2010.02.05 SScope.Trojan.Bofa
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 TrojanSpy.Zbot.UDE
weitere Informationen
File size: 509440 bytes
MD5...: b989fe7e6c7031382f735f1c76ab046a
SHA1..: 26c46bf20f36cef8337a87d28b0f67689b64a018
SHA256: ee2d45c2263769b3ad083fa12e48f5fe37995642db5e959e24 ae712bb300216a
ssdeep: 12288:BK0qeAsYVYHMlfAYIqyg4gaKb/Bc9P6pGdJ9KhGaq+tTAs:BKgAnWMNygJ<br>aKb/Bc9z3KYaqQAs<br>
PEiD..: -


Info zum Java-Schädling aus dem Ausgangspost (in der Date --> 27b66ba2-742e9b13):
Bei virustotal.com wurde er zum ersten Mal am 22.11.2009 analysiert.

Scan-Ergebnis bei virustotal.com vom 12.01.2010:

Datei 27b66ba2-3588429d empfangen 2010.01.12 17:27:12 (UTC)
Status: Beendet
Ergebnis: 9/41 (21.95%)


Antivirus Version letzte aktualisierung Ergebnis

a-squared 4.5.0.48 2010.01.12 Trojan-Downloader.Java.Agent!IK
AhnLab-V3 5.0.0.2 2010.01.12 -
AntiVir 7.9.1.134 2010.01.12 TR/Dldr.Java.Agent.AB.1
Antiy-AVL 2.0.3.7 2010.01.12 Trojan/Java.Agent
Authentium 5.2.0.5 2010.01.12 -
Avast 4.8.1351.0 2010.01.11 -
AVG 9.0.0.725 2010.01.12 -
BitDefender 7.2 2010.01.12 -
CAT-QuickHeal 10.00 2010.01.12 -
ClamAV 0.94.1 2010.01.12 -
Comodo 3558 2010.01.12 TrojWare.Java.TrojanDownloader.Agent.ab
DrWeb 5.0.1.12222 2010.01.12 -
eSafe 7.0.17.0 2010.01.12 -
eTrust-Vet 35.2.7232 2010.01.12 -
F-Prot 4.5.1.85 2010.01.12 -
F-Secure 9.0.15370.0 2010.01.12 -
Fortinet 4.0.14.0 2010.01.12 -
GData 19 2010.01.12 -
Ikarus T3.1.1.80.0 2010.01.12 Trojan-Downloader.Java.Agent
Jiangmin 13.0.900 2010.01.12 -
K7AntiVirus 7.10.944 2010.01.11 -
Kaspersky 7.0.0.125 2010.01.12 Trojan-Downloader.Java.Agent.ab
McAfee 5859 2010.01.12 -
McAfee+Artemis 5859 2010.01.12 -
McAfee-GW-Edition 6.8.5 2010.01.12 Trojan.Dldr.Java.Agent.AB.1
Microsoft 1.5302 2010.01.12 -
NOD32 4764 2010.01.12 -
Norman 6.04.03 2010.01.12 -
nProtect 2009.1.8.0 2010.01.12 -
Panda 10.0.2.2 2010.01.12 -
PCTools 7.0.3.5 2010.01.12 Trojan.ByteVerify
Prevx 3.0 2010.01.12 -
Rising 22.30.01.03 2010.01.12 -
Sophos 4.49.0 2010.01.12 -
Sunbelt 3.2.1858.2 2010.01.12 -
Symantec 20091.2.0.41 2010.01.12 Trojan.ByteVerify
TheHacker 6.5.0.3.148 2010.01.12 -
TrendMicro 9.120.0.1004 2010.01.12 -
VBA32 3.12.12.1 2010.01.12 -
ViRobot 2010.1.12.2132 2010.01.12 -
VirusBuster 5.0.21.0 2010.01.12 -
weitere Informationen
File&nbsp;size: 3460 bytes
MD5&nbsp;&nbsp;&nbsp;: f7a54bdb73cb5e27439719994c013c8d
SHA1&nbsp;&nbsp;: 961040c1433d1394622ed2cf7a16feb8176cc0a4
SHA256: a38b910612c65cbc8487b2787a8cc1d10fc2c56c2add2541d2 71dd73ba42fa84
TrID&nbsp;&nbsp;: File type identification<br>Java Bytecode (60.0%)<br>Mac OS X Universal Binary executable (40.0%)
ssdeep: 96:TAFle+3w846zKGo20/UUQd8yAB9ioRdIi:TCleYH46Frj8yABAI
PEiD&nbsp;&nbsp;: -
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-


...und das Scan-Ergebnis bei virustotal.com vom 07.02.2010:


Datei 27b66ba2-742e9b13 empfangen 2010.02.07 15:05:21 (UTC)
Status: Beendet
Ergebnis: 11/40 (27.5%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.07 Trojan-Downloader.Java.Agent!IK
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 TR/Dldr.Java.Agent.AB.1
Antiy-AVL 2.0.3.7 2010.02.05 Trojan/Java.Agent
Authentium 5.2.0.5 2010.02.06 -
Avast 4.8.1351.0 2010.02.07 -
AVG 9.0.0.730 2010.02.07 -
BitDefender 7.2 2010.02.07 -
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.07 -
Comodo 3852 2010.02.07 TrojWare.Java.TrojanDownloader.Agent.ab
DrWeb 5.0.1.12222 2010.02.07 -
eSafe 7.0.17.0 2010.02.07 -
eTrust-Vet 35.2.7286 2010.02.05 -
F-Prot 4.5.1.85 2010.02.06 -
F-Secure 9.0.15370.0 2010.02.07 -
Fortinet 4.0.14.0 2010.02.07 -
GData 19 2010.02.07 -
Ikarus T3.1.1.80.0 2010.02.07 Trojan-Downloader.Java.Agent
Jiangmin 13.0.900 2010.02.07 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.07 Trojan-Downloader.Java.Agent.ab
McAfee 5884 2010.02.06 -
McAfee+Artemis 5884 2010.02.06 -
McAfee-GW-Edition 6.8.5 2010.02.07 Trojan.Dldr.Java.Agent.AB.1
Microsoft 1.5406 2010.02.07 Trojan:Java/Cireco.A
NOD32 4844 2010.02.07 probably a variant of Java/TrojanDownloader.Agent.AB
Norman 6.04.03 2010.02.07 -
nProtect 2009.1.8.0 2010.02.07 -
Panda 10.0.2.2 2010.02.07 -
PCTools 7.0.3.5 2010.02.07 Trojan.ByteVerify
Prevx 3.0 2010.02.07 -
Rising 22.33.06.04 2010.02.07 -
Sophos 4.50.0 2010.02.07 Troj/ByteVer-G
Sunbelt 3.2.1858.2 2010.02.07 -
TheHacker 6.5.1.0.182 2010.02.07 -
TrendMicro 9.120.0.1004 2010.02.07 -
VBA32 3.12.12.1 2010.02.05 -
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 -
weitere Informationen
File size: 3460 bytes
MD5...: f7a54bdb73cb5e27439719994c013c8d
SHA1..: 961040c1433d1394622ed2cf7a16feb8176cc0a4
SHA256: a38b910612c65cbc8487b2787a8cc1d10fc2c56c2add2541d2 71dd73ba42fa84
ssdeep: 96:TAFle+3w846zKGo20/UUQd8yAB9ioRdIi:TCleYH46Frj8yABAI<br>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Java Bytecode (60.0%)<br>Mac OS X Universal Binary executable (40.0%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>


Nachfolgend das Log von Spybot mit vielen unschönen Einträgen:
http://www.file-upload.net/download-2259324/spybot.txt.html


Der Eintrag vom 31.01.2010 kommt davor noch extrem häufig... ist aber denke ich nicht weiter schlimm oder?


In der Zwischenzeit wurde im cinefacts Forum "von ganz oben" bestätigt, dass es sich um einen Hackerangriff handelte und sie jetzt noch unter Hochdruck an der Folgenbeseitigung arbeiten. Wohlgemerkt war das verseuchte Script dort noch bis einschließlich gestern aktiv und ein offizielles Statement gab es auch erst vorhin... in einem "versteckten" Thread, in dem über den Hack geschrieben wird bzw. sich weitere Infizierte zu Wort melden.


In Antivir habe ich per Expertenmodus folgende Einstellungen gesetzt:
--> Alle Dateien
x Bootsektor Suchlaufwerke
x Masterbootsektoren durchsuchen
(kein Haken) Offline Dateien ignorieren
x Optimierter Suchlauf
(kein Haken) Symbolischen Verknüpfungen folgen
x Rootkit-Suche bei Suchstart
--> Scanner Priorität - hoch

Aktion bei Fund --> Automatisch - ignorieren

x Archive durchsuchen
x Alle Archiv-Typen
x Smart Extensions
x Rekursionstiefe einschränken - max. 20

Keine Ausnahmen

x Makrovirenheuristik
x AHeAD aktivieren - Erkennungsstufe hoch


Unter "Allgemeines" habe ich dann noch alle Gefahrenkategorien aktiviert.

Der Scan mit dem Profil "lokale Laufwerke" hat demnach natürlich wesentlich länger gedauert und er hat logischerweise auch die JOKE-Programme und diverse Spiele-Trainer gefunden.
Im Anschluss habe ich das "Suche nach Rootkits" Profil laufen lassen.
Beide Scans konnten keine Schädlinge mehr ausmachen.


Den Windows Live OneCare Scan habe ich auch mal noch laufen lassen. Der hatte nach ca. 3 1/2 Stunden auch die Trainer und noch ein paar andere unkritische Sachen wie DL-Manager und VNC-Tools gefunden.
Der Scan hat aber immerhin noch etwas gefunden, das der Antivir nicht gefunden hat (leider scheint es kein Log zu geben, daher habe ich es abgeschrieben):
TrojanDownloader:Win32/Obitel

Gefunden hat er das Teil in c:\dokumente und einstellungen\XYZ\lokale einstellungen\temp\in5.tmp
Die Datei wurde automatisch gelöscht (man konnte leider nichts konfigurieren).

Während der OneCare Scan lief, hatte ich mal bewusst den Guard von AntiVir aktiv gelassen. Als der Scan dann das "System Volume Information"-Verzeichnis der Systempartition durchkämmt hatte, kamen nacheinander 3 Warnmeldungen von AntiVir (vermutlich an der Stelle an der der OneCare Scanner gerade prüfen wollte). Die 3 Files habe ich dann in Quarantäne verschieben lassen.
Ich denke mal es wird sich dreimal um die selbe Datei handeln, allerdings weiss man leider nicht mehr, wo sich die ursprüngliche Datei befand.

Ich habe die File mal bei Virustotal prüfen lassen. Hier das Ergebnis:
http://www.virustotal.com/de/analisi...233-1266004891

Auf der Kaspersky Seite gibt es übrigens ein Tool zur Desinfektion des Trojaners:
http://support.kaspersky.com/de/viru...&qid=207619478

Ich denk das lasse ich mal noch durchlaufen, auch wenn es vermutlich nichts mehr finden wird.

#7 Mittlerweile habe ich mich dazu entschlossen, ein älteres Image zurückzuspielen. Zuvor würde ich mich aber noch freuen, wenn folgende Fragen geklärt werden könnten:

Wäre es empfehlenswert vielleicht mal noch sfc mit dem Parameter scannow durchlaufen zu lassen, um zu sehen was der zur Integrität der Systemdateien meint?

Sollte ich zuvor den Kaspersky ZBot-Killer noch laufen lassen?

Wenn ich das richtig sehe, dann konnten die Trojaner keine Bilddateien, Videodateien, Dokumente usw. infizieren bzw. verändern (z.B. löschen)?!
Mir geht es in diesem Fall speziell darum, ob die bei mir gefundenen/analysierten Trojaner überhaupt dazu in der Lage gewesen wären, Dateien zu infizieren bzw. zu verändern (jetzt mal von der gezielten Manipulation von bestimmten Systemdateien abgesehen)?

Falls Musik, Fotos, Dokumente usw. infiziert worden wären, dann hätte ja zumindest einer der Scans in der letzten Zeit anschlagen müssen oder?
Wenn ich das richtig sehe, hat sich das Trojaner-Paket nur auf die Systempartition bezogen oder?!


Sollte ich danach weiter an der Kombo --> ANtiVir + Spybot festhalten?
Macht es dann noch Sinn Malwarebytes' Anti-Malware regelmäßig auszuführen oder wäre das dann "zuviel des Guten"?

Könnte mir jemand kurz erläutern, was die sinnvollste Konfiguration für den aktuellsten AntiVir unter XP ist?

Warum wird überall empfohlen den TeaTeamer von Spybot nicht zu aktivieren bzw. von Anti-Malware nicht die Live-Überwachung zu nutzen?

Welche Software würdet ihr empfehlen um den Inhalt von zwei Partitionen miteinander zu vergleichen ? Also quasi welche Dateien fehlen auf der einen Partition bzw. wurden gelöscht oder wurden geändert.

Würdest ihr empfehlen die Secunia Software auf den Rechner zu installieren, damit man in Zukunft immer rechtzeitig über Programm- und Plug-In-Updates informiert wird?

Gibt es eine Software/einen Dienst, der alle Änderungen auf NTFS-Partitionen protokolliert? Also quasi Änderungen, Überschreibungen, Löschungen, Neuerstellung usw.

Ist es möglich, dass ich mein Firefox und mein Thunderbird Profil-Verzeichnis wegsichere oder könnte sich da möglicherweise was drin festgesetzt haben?

Bei meiner Software-Updateliste ist mir aufgefallen, dass ich Quicktime eigentlich nicht mehr brauche (zumindest zum offline abspielen, da VLC oder der Media Player Classic als Alternative herhalten). Bleibt nur die Frage wie es mit dem Quicktime Plug-In für den Firefox aussieht (wobei das von Firefox "zu meiner Sicherheit" eh deaktiviert wurde)...

#8 wenn du formatierst, bzw ein image zurück spielst, brauchst du nicht die intigrität zu prüfen. auch das kaspersky tool brauchst du nicht laufen zu lassen.
du hast einen trojaner, keinen file infektor, also werden keine weiteren dateien befallen.
Der teatimer kann es für antivirus programme schwierig oder unmöglich machen, infektionen zu erkennen, deswegen aus.
avira konfiguration:
http://www.paules-pc-forum.de/forum/viren-forum/112420-avira-freeware-download-hart-konfigurieren.html?highlight=avira+freeware+konfigurieren
von aufzeichnen welche enderungen jeden tag am bs gemacht wurden, würd ich abraten, es sind sehr viele am tag.
Secunia kannst du behalten bzw instalieren, du kannst dein datenbackup scannen, mit den avira einstellungen, befor du es zurückspielst.
endere all deine passwörter

#9 Hallo virenfinder,
vielen Dank für deine Antwort.

Mir geht es beim Zurückspielen des Images nicht direkt um die Integrität der Dateien, sondern darum welche Dateien ich davor noch sichern muss, bevor ich das Image zurückspiele, damit mir im Endeffekt keine Dateien fehlen bzw. ich einen veralteten Stand von Dokumenten habe.

Also waren quasi alle Funde, die auf meinem PC waren, Programme die den PC ausgespäht haben bzw. Passwörter/Bankdaten gestohlen haben?
Gibt es ein Programm, das auch alle Passwörter/Bankdaten vom PC auslesen kann, also das man selbst sehen kann, was der Trojaner gestohlen haben könnte?

Wenn ich jetzt eine externe Festplatte an den Rechner anschließe, kann höchstwahrscheinlich kein Trojaner auf die ext. Platte überspringen oder?

#10 manchmal werden die ausgelesenen daten verschlüsselt auf der festplatte abgespeichert. endere alles an passwörtern, das ist das beste, externe platte solltest du anschließen können.

#11 @frank

http://www.trojaner-board.de/82679-tr-dropper-gen-bzw-win32-zbot-im-cinefacts-forum-eingefangen.html

crossposting wird nicht gerne gesehen, hab den thread im TB gemeldet...

#12

Zitat

Dresik postete
@frank

http://www.trojaner-board.de/82679-tr-dropper-gen-bzw-win32-zbot-im-cinefacts-forum-eingefangen.html

crossposting wird nicht gerne gesehen, hab den thread im TB gemeldet...

Wirklich schade, dass es immer wieder jemanden gibt, der lieber seine Energie dafür aufbringt anderen an's Bein zu pinkeln, statt etwas zum Thema beizutragen.

#13 Normalerweise hänge ich mich nicht hinein. Aber das ist doch schon ziemlich dreist.

Zitat

Wirklich schade, dass es immer wieder jemanden gibt, der lieber seine Energie dafür aufbringt anderen an's Bein zu pinkeln, statt etwas zum Thema beizutragen.

Schade ist, dass manche denken, alle anderen wären ein wenig doof!
Es geht einfach nicht, in verschiedenen Foren das gleiche Problem zu posten und die Leute, die hier Hilfestellung geben ,und das in ihrer (unbezahlten) Freizeit, zu ver***schen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#14 Ich wüsste jetzt beim besten Willen nicht, was daran so schlimm sein soll, in verschiedenen Foren zu posten bzw. was das mit "Leute ver***schen" zu tun haben soll.

In anderen Bereichen (Film / Heimkino / HiFi) ist das übrigens Gang und Gäbe. So kann es passieren, dass in einem Forum nicht geantwortet wird und dafür in einem anderen die Resonanz größer ist. Außerdem kann man so mehrere Meinungen/Sichtweisen einholen...

#15 ja, aber hier werden dinge von deinem pc entfernt, instaliert etc wenn sich da 2 foren in die quere kommen kann es zu schwierigkeiten führen.
außerdem haben wir alle genug zu tun ohne doppelte arbeit.