keine internetverbindung mehr mit programmen nach malware virus

Thema ist geschlossen!
Thema ist geschlossen!
#0
16.07.2010, 18:33
Moderator

Beiträge: 5694
#16 Schritt 1

• Download rkill.com auf den Desktop Desktop.
• Starte per Doppelklick rkill.com und führe das Programm aus (kann etwas dauern)…
• Am Ende wird das schwarze Fenster von rkill.com automatisch geschlossen.
• Wenn eine Meldung von Deiner Sicherheitslösung kommt rkill.com sei Malware, erlaube rkill.com als „Ausnahme“.
• Bitte poste mir das Logfile.
• Starte Deinen Rechner NICHT neu wenn rkill.com beendet ist sondern mache folgendes:


Schritt 2

Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung". In der Systemsteuerung befindet sich das Icon "Internetoptionen", dass auswählen.
Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und schau ob bei Proxyserver ein Häkchen steht, wenn ja -> Entfernen, dann ->OK (außer Du weist sicher das der Proxyservereintrag stimmt!).


Schritt 3

Führe mit Malwarebytes einen Fullscan durch und poste mir den Report.
Seitenanfang Seitenende
17.07.2010, 00:36
...neu hier

Beiträge: 9
#17 Hey! Danke wieder für perfekt klare und exakte Anweisungen. ;)

rkill sagt folgendes:

Code

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Andrej on 16.07.2010 at 23:52:58.


Processes terminated by Rkill or while it was running:


C:\Users\Andrej\Desktop\rkill.com


Rkill completed on 16.07.2010  at 23:53:00.
Mit den Interneteinstellungen ist alles in Ordnung, ich habe es sofort als ich es vor ein paar Tagen bemerkt habe korrigiert.


MBAM sagt folgendes:

Code

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4320

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17.07.2010 00:34:06
mbam-log-2010-07-17 (00-34-06).txt

Scan type: Full scan (C:\|D:\|E:\|F:\|M:\|)
Objects scanned: 406947
Time elapsed: 40 minute(s), 13 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
D:\Spiele\PacSteamT\AVSMP.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\Games\AC2\ubiorbitapi_r2.dll (Trojan.Agent.CK) -> Quarantined and deleted successfully.
Ich starte mal eben meinen Rechner neu.
Seitenanfang Seitenende
18.07.2010, 17:52
...neu hier

Beiträge: 9
#18

Zitat

• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
?

Ich wollte es ausm Log löschen, dachte mir aber, dass es besser ist, ehrlich zu bleiben. Als Schüler hat man nicht das extra Geld für sowas. 70€ für etwas, wovon man nichtmal weiß, ob es gut ist? Nah.
Seitenanfang Seitenende
18.07.2010, 23:12
Moderator

Beiträge: 5694
#19 Danke für deine Ehrlichkeit. Aber ich muss trotzdem noch folgendes posten. Also Spiel runter und dann bin ich wieder bereits weiter zu machen.

Weiterer Support fraglich

Die Nutzung von Cracks, Keygens und/oder Patchs, die das Ziel haben, Bezahlsoftware ohne Bezahlung nutzbar zu machen, ist illegal und wir haben uns darauf geeinigt, dass wir uns nicht der Beihilfe schuldig machen werden. Dieses Forum unterliegt deutschen Gesetzen und die sind diesbezüglich sehr streng.

Dass Cracks und Keygens im Wesentlichen dazu dienen, um auf den Computern Malware und Backdoors unterzubringen, ist kein Geheimnis und muss jedem klar sein.

Du hast jetzt zwei Möglichkeiten: Entweder Du entfernst konsequent und rückstandlos jede Software, die auf diese Weise genutzt wird und verzichtest in Zukunft darauf, oder ich stelle den Support an dieser Stelle komplett ein.
Seitenanfang Seitenende
19.07.2010, 03:50
...neu hier

Beiträge: 9
#20 Ich dachte immer, dass Cracks von den Hackerteams kommen, die sich gegenseitig beweisen wollen, wer am cleversten die krassesten Kopierschutzmechanismen umgeht... :-/ Und weil ich noch nie Malwareprobleme damit hatte, hielt ich das nicht für eine Möglichkeit.
AC2 und Pacsteam sind schon lange aus der Nutzung, jedoch habe ich wohl nicht ordentlich genug denstalliert/aufgeräumt. Wird jetzt gemacht.

Danke für die Tipps & das nicht aufgeben. ;)
Seitenanfang Seitenende
19.07.2010, 10:59
Moderator

Beiträge: 5694
#21 Wie läuft denn die Kiste zur Zeit?
Seitenanfang Seitenende
19.07.2010, 15:17
...neu hier

Beiträge: 9
#22 Sie läuft perfekt... ;)

Die Bootzeiten sind sogar etwas kürzer geworden und es gibt keinerlei Probleme...

Ich kann mich nur vom ganzen Herzen bedanken, so professionellen, direkten Support, der für jeden verständlich ist, gibt es selten. Bin froh dieses Board und diesen Thread gefunden zu haben. Was ist die Motivation dahinter? Heutzutage gibt es ja eigentlich nichts umsonst...
Seitenanfang Seitenende
19.07.2010, 15:40
Moderator

Beiträge: 5694
#23 Die Motivation ist die Freude an der Thematik ;)

Schritt 1

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Schritt 2

Nachsorge


Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich [url="http://www.CCleaner.de"]CCleaner[/url], (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
Port-Scan-Test.
WLAN absichern.
Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Freiwillige Spende

Seitenanfang Seitenende
19.07.2010, 22:22
Member

Beiträge: 20
#24 Hallo, ich habe ein ähnliches Problem:Bei mir funktionieren außer der Netzwerkverbindung auch die Systemwiederherstellung nicht mehr. Nur auf die Sicherheitsabfrage des Routers konnte ich gelangen, dann Ende. Habe schon mit zusätzlichen Antimalwares (Avast und Malwarebite) vieles entfernen können. Aber keine Wirkung erzielt. Ich würde gerne noch combofix probieren, aber habe gelesen, daß man das nur nach "Erlaubniss" sollte.

Würde mich über Hilfe sehr freuen!
__________
Gruss, Everdream
Seitenanfang Seitenende
19.07.2010, 22:50
Moderator

Beiträge: 5694
#25 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Genau. Combofix ist ein sehr starkes Werkzeug. Es geht in die Tiefe und kann dementsprechend Schaden anrichten.

Schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
• Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.



• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Seitenanfang Seitenende
20.07.2010, 11:57
Member

Beiträge: 20
#26 Danke für die schnelle Antwort! Hier die Logfiles von Oldtimer:
OTL.txt:

Code

 
OTL logfile created on: 20.07.2010 11:21:35 - Run 1
OTL by OldTimer - Version 3.2.9.1     Folder = G:\Service
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 58,59 Gb Total Space | 42,14 Gb Free Space | 71,91% Space Free | Partition Type: NTFS
Drive D: | 90,45 Gb Total Space | 89,36 Gb Free Space | 98,79% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 6,67 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive G: | 14,92 Gb Total Space | 4,52 Gb Free Space | 30,29% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: REISE02
Current User Name: rbt
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - G:\Service\OTL.exe (OldTimer Tools)
PRC - C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
PRC - C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)
PRC - C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
PRC - C:\Programme\Google\Update\1.2.183.23\GoogleCrashHandler.exe (Google Inc.)
PRC - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
PRC - C:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe (F-Secure Corporation)
PRC - C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe (F-Secure Corporation)
PRC - C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe (F-Secure Corporation)
PRC - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32.exe (F-Secure Corporation)
PRC - C:\Programme\F-Secure Internet Security\Common\FSM32.EXE (F-Secure Corporation)
PRC - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE (F-Secure Corporation)
PRC - C:\Programme\F-Secure Internet Security\Common\FSHDLL32.EXE (F-Secure Corporation)
PRC - C:\Programme\F-Secure Internet Security\FWES\program\fsdfwd.exe (F-Secure Corporation)
PRC - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe (F-Secure Corporation)
PRC - C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\U3\087662190082E953\LaunchPad.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\SABRE\Apps\OADP\Oadp.exe (Sabre Inc.)
PRC - C:\SABRE\Apps\OADP\OadpUtil.exe (Sabre Inc.)
PRC - C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe (Logitech, Inc.)
PRC - C:\WINDOWS\sabserv.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
PRC - C:\WINDOWS\system32\CfgSrvc.exe ()
PRC - C:\WINDOWS\sdman.exe ()


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - G:\Service\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\msvcr80.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\msvcp80.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\Programme\Logitech\SetPoint\lgscroll.dll (Logitech, Inc.)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (lxdu_device) -- C:\WINDOWS\System32\lxducoms.exe File not found
SRV - (avast! Web Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (avast! Mail Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (avast! Antivirus) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (FSORSPClient) -- C:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe (F-Secure Corporation)
SRV - (GoToAssist) -- C:\Programme\Citrix\GoToAssist\570\g2aservice.exe (Citrix Online, a division of Citrix Systems, Inc.)
SRV - (FSMA) -- C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE (F-Secure Corporation)
SRV - (FSDFWD) -- C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe (F-Secure Corporation)
SRV - (F-Secure Gatekeeper Handler Starter) -- C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe (F-Secure Corporation)
SRV - (SabrePrint) -- C:\SABRE\Apps\OADP\Oadp.exe (Sabre Inc.)
SRV - (LBTServ) -- C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
SRV - (HsspConfig) -- C:\WINDOWS\system32\CfgSrvc.exe ()
SRV - (CfgSrvc) -- C:\WINDOWS\system32\CfgSrvc.exe ()
SRV - (SDMan) -- C:\WINDOWS\sdman.exe ()


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (SABKUTIL) -- C:\Programme\SUPERAntiSpyware\SABKUTIL.sys File not found
DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (ALWIL Software)
DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (ALWIL Software)
DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (ALWIL Software)
DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (ALWIL Software)
DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (ALWIL Software)
DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (ALWIL Software)
DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (F-Secure Gatekeeper) -- C:\Programme\F-Secure Internet Security\Anti-Virus\minifilter\fsgk.sys ()
DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (fsbts) -- C:\WINDOWS\system32\Drivers\fsbts.sys ()
DRV - (F-Secure HIPS) -- C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (F-Secure Corporation)
DRV - (FSFW) -- C:\WINDOWS\System32\drivers\fsdfw.sys (F-Secure Corporation)
DRV - (F-Secure Filter) -- C:\Programme\F-Secure Internet Security\Anti-Virus\win2k\fsfilter.sys ()
DRV - (F-Secure Recognizer) -- C:\Programme\F-Secure Internet Security\Anti-Virus\win2k\fsrec.sys ()
DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.)
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (LUsbFilt) -- C:\WINDOWS\system32\drivers\LUsbFilt.sys (Logitech, Inc.)
DRV - (LMouKE) -- C:\WINDOWS\system32\drivers\LMouKE.Sys (Logitech, Inc.)
DRV - (LMouFilt) -- C:\WINDOWS\system32\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV - (LHidFilt) -- C:\WINDOWS\system32\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV - (L8042mou) -- C:\WINDOWS\system32\drivers\L8042mou.Sys (Logitech, Inc.)
DRV - (L8042Kbd) -- C:\WINDOWS\system32\drivers\L8042Kbd.sys (Logitech, Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (iaStor) -- C:\WINDOWS\system32\DRIVERS\iaStor.sys (Intel Corporation)
DRV - (DgiVecp) -- C:\WINDOWS\system32\drivers\DGIVECP.SYS (DeviceGuys, Inc.)
DRV - (adpu320) -- C:\WINDOWS\system32\DRIVERS\adpu320.sys (Adaptec, Inc.)
DRV - (GenPort) -- C:\WINDOWS\System32\drivers\genport.sys (Microsoft Corporation)
DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.)
DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation)
DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation)
DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation)
DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation)
DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.)
DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.)
DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.)
DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://go.web.de/tab2 [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://go.web.de/tab2 [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultenginename: "WEB.DE Suche"
FF - prefs.js..browser.search.order.1: "GMX Suche"
FF - prefs.js..browser.search.order.2: "1und1 Suche"
FF - prefs.js..browser.search.order.3: "amazon.de"
FF - prefs.js..browser.search.order.4: "WEB.DE Suche"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://go.web.de/tab2|www.web.de"
FF - prefs.js..keyword.URL: "http://go.web.de/suchbox/webdesuche?su="

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.17 13:28:29 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.17 11:25:00 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.21\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2009.04.14 15:04:29 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.21\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins

[2009.04.14 15:02:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Mozilla\Extensions
[2010.03.23 10:51:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Mozilla\Firefox\Profiles\yua7qf0a.default\extensions
[2009.08.11 11:46:59 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Mozilla\Firefox\Profiles\yua7qf0a.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.11.25 11:42:13 | 000,005,599 | ---- | M] () -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Mozilla\Firefox\Profiles\yua7qf0a.default\searchplugins\1und1-suche.xml
[2009.11.25 11:42:12 | 000,001,381 | ---- | M] () -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Mozilla\Firefox\Profiles\yua7qf0a.default\searchplugins\amazonde.xml
[2009.11.25 11:42:12 | 000,010,613 | ---- | M] () -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Mozilla\Firefox\Profiles\yua7qf0a.default\searchplugins\gmx-suche.xml
[2009.11.25 11:42:12 | 000,005,596 | ---- | M] () -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Mozilla\Firefox\Profiles\yua7qf0a.default\searchplugins\webde-suche.xml
[2010.07.17 13:28:28 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.06.26 10:03:55 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.06.26 10:03:55 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.06.26 10:03:55 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.06.26 10:03:55 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.06.26 10:03:55 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.07.20 11:07:56 | 000,000,000 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avast5] C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)
O4 - HKLM..\Run: [F-Secure Manager] C:\Programme\F-Secure Internet Security\Common\FSM32.EXE (F-Secure Corporation)
O4 - HKLM..\Run: [F-Secure TNB] C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe (F-Secure Corporation)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
O4 - HKCU..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKLM..\RunServices: [Sabre Task Tray Icon] C:\SABRE\Sabstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Amadeus Pro Printer.lnk = C:\Programme\Amadeus\Pro Printer\autosrv.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OADP Utility.lnk = C:\SABRE\Apps\OADP\OadpUtil.exe (Sabre Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sabre Printing Start.lnk = C:\SABRE\Sabstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sabre Server.lnk = C:\WINDOWS\sabserv.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\rbt\Startmenü\Programme\Autostart\CleanupNortelVPN.bat ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O9 - Extra Button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe ()
O9 - Extra 'Tools' menuitem : Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL (F-Secure Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL (F-Secure Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL (F-Secure Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\Programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL (F-Secure Corporation)
O15 - HKCU\..Trusted Domains: amadeus.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeus.net ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeuscruise.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeusferry.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeusproweb.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeusvista.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeusvista.de ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: portevo.de ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: sabre.com ([]https in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: sabre.com ([my] https in Vertrauenswürdige Sites)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} http://go.microsoft.com/fwlink/?linkid=58813 (Office Genuine Advantage Validation Tool)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {2D36AF92-04D3-11D8-B719-0000865F231B} https://my.sabre.com/jars/TMinReqX.dll (TMinReq Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/products/plugin/autodl/jinstall-150-windows-i586.cab (Java Plug-in 1.5.0_11)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} http://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-150-windows-i586.cab (Java Plug-in 1.5.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Java Plug-in 1.5.0_11)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E90EF4C9-1476-4C49-B926-97C7D9D30A06} http://certificates.amadeusvista.com/certificateinfo/CCCert_Info.CAB (Certificates_Info Class)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.08.20 21:33:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2008.05.06 14:26:23 | 000,000,309 | R--- | M] () - F:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- [2007.10.23 09:45:39 | 001,336,632 | R--- | M] ()
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.07.17 17:06:27 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\rbt\Recent
[2010.07.17 16:03:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Malwarebytes
[2010.07.17 16:03:30 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.17 16:03:29 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.17 16:03:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.17 16:03:28 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.17 15:05:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\SUPERAntiSpyware.com
[2010.07.17 15:05:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2010.07.17 15:04:46 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2010.07.17 13:57:54 | 000,161,296 | ---- | C] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmcomm.sys
[2010.07.17 13:45:25 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.07.17 13:29:26 | 000,000,000 | ---D | C] -- C:\Programme\Realtek
[2010.07.17 13:29:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\InstallShield
[2010.07.16 17:57:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\OPTIONS
[2010.07.16 15:52:24 | 000,165,456 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswSP.sys
[2010.07.16 15:52:24 | 000,017,744 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys
[2010.07.16 15:52:23 | 000,023,376 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswRdr.sys
[2010.07.16 15:52:21 | 000,046,672 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswTdi.sys
[2010.07.16 15:52:19 | 000,100,176 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswmon2.sys
[2010.07.16 15:52:19 | 000,094,544 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswmon.sys
[2010.07.16 15:52:19 | 000,028,880 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aavmker4.sys
[2010.07.16 15:52:07 | 000,165,032 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe
[2010.07.16 15:52:07 | 000,038,848 | ---- | C] (ALWIL Software) -- C:\WINDOWS\avastSS.scr
[2010.07.16 15:52:02 | 000,000,000 | ---D | C] -- C:\Programme\Alwil Software
[2010.07.16 15:52:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software
[2010.07.16 15:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\U3
[2010.07.16 15:19:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Temp
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.07.20 11:19:10 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.07.20 11:07:56 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\lmhosts
[2010.07.20 11:07:56 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.07.20 11:07:36 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.20 11:07:33 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.07.20 11:06:28 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.20 11:06:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.17 17:21:53 | 006,291,456 | ---- | M] () -- C:\Dokumente und Einstellungen\rbt\ntuser.dat
[2010.07.17 17:21:49 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\rbt\ntuser.ini
[2010.07.17 17:21:41 | 003,775,368 | -H-- | M] () -- C:\Dokumente und Einstellungen\rbt\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.17 15:29:14 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.07.17 15:04:50 | 000,001,647 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.07.17 13:57:52 | 000,161,296 | ---- | M] (Trend Micro Inc.) -- C:\WINDOWS\System32\drivers\tmcomm.sys
[2010.07.17 13:45:26 | 000,001,980 | ---- | M] () -- C:\Dokumente und Einstellungen\rbt\Desktop\HiJackThis.lnk
[2010.07.17 11:25:02 | 000,001,571 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.07.17 11:19:06 | 000,006,260 | ---- | M] () -- C:\Dokumente und Einstellungen\rbt\Eigene Dateien\cc_20100717_111900.reg
[2010.07.17 11:16:31 | 001,129,654 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.07.17 11:16:31 | 000,479,422 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.07.17 11:16:31 | 000,461,360 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.07.17 11:16:31 | 000,094,202 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.07.17 11:16:31 | 000,080,674 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.07.16 15:52:25 | 000,001,703 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
[2010.07.16 15:52:20 | 000,003,003 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2010.07.16 15:28:24 | 054,835,272 | ---- | M] () -- C:\Dokumente und Einstellungen\rbt\Eigene Dateien\setup_av_free.exe
[2010.07.16 14:58:54 | 000,891,400 | ---- | M] () -- C:\Dokumente und Einstellungen\rbt\Eigene Dateien\cc_20100716_145832.reg
[2010.07.06 13:34:49 | 000,001,247 | ---- | M] () -- C:\WINDOWS\PARTONE.INI
[2010.07.06 13:34:04 | 000,001,108 | ---- | M] () -- C:\WINDOWS\parser.ini
[2010.07.06 13:34:03 | 000,000,050 | ---- | M] () -- C:\WINDOWS\RRW.INI
[2010.06.28 22:57:33 | 000,038,848 | ---- | M] (ALWIL Software) -- C:\WINDOWS\avastSS.scr
[2010.06.28 22:57:12 | 000,165,032 | ---- | M] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe
[2010.06.28 22:37:52 | 000,046,672 | ---- | M] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswTdi.sys
[2010.06.28 22:37:30 | 000,165,456 | ---- | M] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswSP.sys
[2010.06.28 22:33:13 | 000,023,376 | ---- | M] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswRdr.sys
[2010.06.28 22:32:45 | 000,100,176 | ---- | M] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswmon2.sys
[2010.06.28 22:32:42 | 000,094,544 | ---- | M] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswmon.sys
[2010.06.28 22:32:33 | 000,017,744 | ---- | M] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys
[2010.06.28 22:32:16 | 000,028,880 | ---- | M] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aavmker4.sys
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.07.17 15:57:12 | 000,291,447 | ---- | C] () -- C:\Dokumente und Einstellungen\rbt\Desktop\SABRE.EXE
[2010.07.17 15:04:50 | 000,001,647 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.07.17 13:45:26 | 000,001,980 | ---- | C] () -- C:\Dokumente und Einstellungen\rbt\Desktop\HiJackThis.lnk
[2010.07.17 11:25:02 | 000,001,571 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.07.17 11:19:03 | 000,006,260 | ---- | C] () -- C:\Dokumente und Einstellungen\rbt\Eigene Dateien\cc_20100717_111900.reg
[2010.07.16 15:52:25 | 000,001,703 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
[2010.07.16 15:50:31 | 054,835,272 | ---- | C] () -- C:\Dokumente und Einstellungen\rbt\Eigene Dateien\setup_av_free.exe
[2010.07.16 15:04:23 | 006,291,456 | ---- | C] () -- C:\Dokumente und Einstellungen\rbt\ntuser.dat
[2010.07.16 14:58:35 | 000,891,400 | ---- | C] () -- C:\Dokumente und Einstellungen\rbt\Eigene Dateien\cc_20100716_145832.reg
[2009.10.29 16:29:26 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.10.23 09:57:14 | 000,033,920 | ---- | C] () -- C:\WINDOWS\System32\drivers\fsbts.sys
[2009.08.11 11:10:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\hpqEmlSz.INI
[2009.07.14 15:08:44 | 000,077,824 | R--- | C] () -- C:\WINDOWS\System32\hpzids01.dll
[2009.07.07 16:10:04 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\LXDUFXPU.DLL
[2009.07.07 16:10:03 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\LXDUPMON.DLL
[2009.07.07 16:09:43 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\lxduoem.dll
[2009.04.14 18:27:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\sabserv.INI
[2009.04.08 12:38:03 | 000,000,871 | ---- | C] () -- C:\WINDOWS\pocom.ini
[2009.04.08 12:38:02 | 000,001,247 | ---- | C] () -- C:\WINDOWS\PARTONE.INI
[2009.04.08 12:38:02 | 000,001,108 | ---- | C] () -- C:\WINDOWS\parser.ini
[2009.04.08 12:38:02 | 000,000,050 | ---- | C] () -- C:\WINDOWS\RRW.INI
[2009.04.07 12:47:37 | 000,000,350 | ---- | C] () -- C:\WINDOWS\oadpcfg.ini
[2009.04.07 12:47:36 | 000,000,352 | ---- | C] () -- C:\WINDOWS\System32\OADPCFG.ini
[2009.04.07 12:47:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\sv.ini
[2009.04.07 12:47:22 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\SDView.dll
[2009.04.07 12:47:22 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\PortDev.dll
[2009.04.07 12:47:22 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\Logger.dll
[2009.04.07 12:47:22 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\SDM32NT.dll
[2009.04.07 12:47:22 | 000,056,320 | ---- | C] () -- C:\WINDOWS\System32\sdmgptr.dll
[2009.04.07 12:47:22 | 000,030,208 | ---- | C] () -- C:\WINDOWS\System32\sdapipp.dll
[2009.04.07 12:47:22 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\SDPort.dll
[2009.04.07 12:47:21 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\sdapi.dll
[2009.04.07 12:47:21 | 000,033,280 | ---- | C] () -- C:\WINDOWS\System32\ExPrtMon.dll
[2009.04.07 12:47:21 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\ExPrint.dll
[2009.04.07 12:47:21 | 000,023,552 | ---- | C] () -- C:\WINDOWS\System32\BSDSock.dll
[2009.04.07 12:47:08 | 000,000,195 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2009.04.07 12:47:05 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\SvcUitl.dll
[2009.04.07 12:47:05 | 000,007,552 | ---- | C] () -- C:\WINDOWS\System32\AAPI.DLL
[2009.04.07 12:47:04 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\OFEP.DLL
[2009.04.07 12:47:04 | 000,060,416 | ---- | C] () -- C:\WINDOWS\System32\bsdofep.dll
[2009.04.07 12:47:04 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\SOCK32M.DLL
[2009.04.07 12:47:04 | 000,051,392 | ---- | C] () -- C:\WINDOWS\System32\WBTRCALL.DLL
[2009.04.07 12:47:04 | 000,048,640 | ---- | C] () -- C:\WINDOWS\System32\sdcomm.dll
[2009.04.07 12:47:04 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\sabver.dll
[2009.04.07 12:47:04 | 000,040,860 | ---- | C] () -- C:\WINDOWS\System32\TRAVEL.DLL
[2009.04.07 12:47:04 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\notify.dll
[2009.04.07 12:47:04 | 000,034,272 | ---- | C] () -- C:\WINDOWS\System32\SI.DLL
[2009.04.07 12:47:04 | 000,030,873 | ---- | C] () -- C:\WINDOWS\System32\AATOOLS.DLL
[2009.04.07 12:47:04 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\iateclass.dll
[2009.04.07 12:47:04 | 000,015,136 | ---- | C] () -- C:\WINDOWS\System32\SABRE.DRV
[2009.04.07 12:47:04 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\STRGRPS.DLL
[2009.04.07 12:47:04 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\STRGRPPC.DLL
[2009.04.07 12:47:04 | 000,012,832 | ---- | C] () -- C:\WINDOWS\System32\SABKEYW.DLL
[2009.04.07 12:47:04 | 000,005,408 | ---- | C] () -- C:\WINDOWS\System32\SABWNAPI.DLL
[2009.04.07 12:47:04 | 000,004,244 | ---- | C] () -- C:\WINDOWS\System32\SFWVER.DLL
[2009.04.07 12:47:03 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\matipsp.dll
[2009.04.07 12:47:03 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\Csapi10.dll
[2009.04.07 12:47:03 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\CSAPI10s.dll
[2009.04.07 12:47:03 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\isgsp.dll
[2009.04.07 12:47:03 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\Csaconn.dll
[2009.04.07 12:47:03 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\CTL32.DLL
[2009.04.07 12:47:03 | 000,018,432 | ---- | C] () -- C:\WINDOWS\System32\CsapiComm.dll
[2009.04.07 12:47:03 | 000,015,680 | ---- | C] () -- C:\WINDOWS\System32\CTL.DLL
[2009.04.07 12:47:03 | 000,011,520 | ---- | C] () -- C:\WINDOWS\System32\SB.DLL
[2009.04.07 12:46:46 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\PORTAL.dll
[2009.04.07 12:46:46 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\JServAPI.dll
[2009.04.07 12:46:46 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\JNIREG.dll
[2009.04.07 12:44:48 | 000,000,613 | ---- | C] () -- C:\WINDOWS\SABSITE.INI
[2009.04.07 12:44:33 | 000,001,251 | ---- | C] () -- C:\WINDOWS\Sabre.Ini
[2009.04.07 12:43:26 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.04.07 11:56:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Oadp.INI
[2008.08.08 14:58:40 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4935.dll
[2008.03.13 13:41:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\VistaService.INI
[2008.03.13 13:32:26 | 000,003,497 | ---- | C] () -- C:\WINDOWS\1aAutoUpdate.ini
[2008.02.04 19:23:10 | 000,693,792 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL
[2007.07.18 13:30:21 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.07.31 07:59:36 | 000,000,338 | ---- | C] () -- C:\WINDOWS\scrub2k.ini
[2005.04.28 14:32:29 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004.08.20 21:44:06 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini

[color=#E56717]========== LOP Check ==========[/color]

[2009.07.07 16:09:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\5600-6600 Series
[2010.07.16 15:52:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software
[2009.05.05 14:17:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2009.10.23 09:55:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure
[2009.10.23 09:55:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg
[2009.11.25 11:41:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
[2010.03.23 10:33:12 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C4673A56-EF7C-40A4-9249-68BD43C997F7}
[2009.07.07 16:19:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\5600-6600 Series
[2008.03.13 14:46:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Amadeus
[2009.08.04 13:37:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\F-Secure
[2010.04.13 10:40:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Image Zone Express
[2009.07.07 16:19:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Lexmark Productivity Studio
[2009.07.06 12:07:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Template
[2009.04.14 15:04:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rbt\Anwendungsdaten\Thunderbird

[color=#E56717]========== Purity Check ==========[/color]


< End of report >



und Extras.Txt:

Code


OTL Extras logfile created on: 20.07.2010 11:21:35 - Run 1
OTL by OldTimer - Version 3.2.9.1     Folder = G:\Service
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 58,59 Gb Total Space | 42,14 Gb Free Space | 71,91% Space Free | Partition Type: NTFS
Drive D: | 90,45 Gb Total Space | 89,36 Gb Free Space | 98,79% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 6,67 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive G: | 14,92 Gb Total Space | 4,52 Gb Free Space | 30,29% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: REISE02
Current User Name: rbt
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\SABRE\Apps\OADP\OadpUtil.exe" = C:\SABRE\Apps\OADP\OadpUtil.exe:*:Enabled:Open Auxiliary Device Platform -- (Sabre Inc.)
"C:\WINDOWS\sabserv.exe" = C:\WINDOWS\sabserv.exe:*:Enabled:CSAPI Server -- ()
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- File not found
"C:\WINDOWS\system32\ftp.exe" = C:\WINDOWS\system32\ftp.exe:*:Enabled:Programm zur Dateiübertragung -- (Microsoft Corporation)
"C:\Programme\Java\jre1.5.0_11\bin\javaw.exe" = C:\Programme\Java\jre1.5.0_11\bin\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary -- (Sun Microsystems, Inc.)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02C91E12-74A4-45E1-9D3F-C3DD7D6FECAE}" = 5700_Help
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{0A55CDBB-0566-4AA2-A15B-24C7F27C6FF4}" = BPD_Scan
"{0C826C5B-B131-423A-A229-C71B3CACCD6A}" = CDDRV_Installer
"{0E92A5AC-05AB-48c2-9227-9AD504EAF4EA}" = J5700
"{11655C91-EF58-4aab-BF09-E8F205324FBF}" = BPDSoftware
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2EAF7E61-068E-11DF-953C-005056806466}" = Google Earth
"{3101CB58-3482-4D21-AF1A-7057FC935355}" = KhalInstallWrapper
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3D30BAC1-C250-4F10-9C78-C379D05A445E}" = BPDSoftware_Ini
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{45B8A76B-57EC-4242-B019-066400CD8428}" = BufferChm
"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU
"{4EA684E9-5C81-4033-A696-3019EC57AC3A}" = HPProductAssistant
"{66910000-8B30-4973-A159-6371345AFFA5}" = WebReg
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{6909F917-5499-482e-9AA1-FAD06A99F231}" = Toolbox
"{6994491D-D491-48F1-AE1F-E179C1FFFC2F}" = HP Photosmart Essential
"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder
"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator
"{8331C3EA-0C91-43AA-A4D4-27221C631139}" = Status
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8A4CE7FD-9657-4B06-9943-E1819F3D5D67}" = DocProc
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{901B0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word 2003
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.2 - Deutsch
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B929776E-7527-4F98-AE4D-BEBCF0BEA669}" = BPD_HPSU
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}" = HP Software Update
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C7F54CF8-D6FB-4E0A-93A3-E68AE0D6C476}" = SolutionCenter
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware
"{CE24344F-DFD8-40C8-8FD8-C9740B5F25AC}" = BPDfax
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D34D82E0-4600-407B-9478-8506C1DD1031}" = Nero 7 Essentials
"{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}" = Full Tilt Poker
"{DBC20735-34E6-4E97-A9E5-2066B66B243D}" = TrayApp
"{E1B80DEE-A795-4258-8445-074C06AE3AB8}" = MarketResearch
"{E2E7A0E8-77C4-495F-8FA3-63DAEDAA2DB3}" = F-Secure PSC Prerequisites
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F1FCC8AD-0F88-4D77-8530-0FBB088485F1}" = WEB.DE Update
"{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}" = Logitech SetPoint
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F2CA5A0D-5F2F-4d99-89F0-2D1358218A7A}" = ProductContext
"{F3760724-B29D-465B-BC53-E5D72095BCC4}" = Scan
"{FB15E224-67C3-491F-9F5C-F257BC418412}" = Destinations
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"avast5" = avast! Free Antivirus
"CCleaner" = CCleaner
"F-Secure Product 303" = F-Secure Anti-Virus 2010 OEM
"Google Updater" = Google Updater
"GoToAssist" = GoToAssist Corporate
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HP Imaging Device Functions" = HP Imaging Device Functions 7.0
"HP Officejet All-In-One Series" = HP Officejet All-In-One Series
"HP Solution Center & Imaging Support Tools" = HP Solution Center 7.0
"HPExtendedCapabilities" = HP Customer Participation Program 7.0
"HPOCR" = OCR Software by I.R.I.S 7.0
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.6)" = Mozilla Firefox (3.6.6)
"Mozilla Thunderbird (2.0.0.21)" = Mozilla Thunderbird (2.0.0.21)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MySabre" = MySabre
"Open Systems Client" = Open Systems Client
"PDFzuWord Professional_is1" = PDFzuWord Professional
"Sabre Device Manager" = Sabre Device Manager
"Sabre Print Module" = Sabre Print Module
"Titan Poker" = Titan Poker
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"WEB.DE Update" = WEB.DE Update
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Sabre VPN" = Sabre VPN

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 17.07.2010 10:51:28 | Computer Name = REISE02 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 17.07.2010 10:51:28 | Computer Name = REISE02 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 17.07.2010 11:04:11 | Computer Name = REISE02 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 17.07.2010 11:04:11 | Computer Name = REISE02 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 17.07.2010 11:04:11 | Computer Name = REISE02 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 17.07.2010 11:04:11 | Computer Name = REISE02 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 20.07.2010 05:06:32 | Computer Name = REISE02 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 20.07.2010 05:06:32 | Computer Name = REISE02 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 20.07.2010 05:06:32 | Computer Name = REISE02 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

Error - 20.07.2010 05:06:32 | Computer Name = REISE02 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.

[ System Events ]
Error - 17.07.2010 10:30:46 | Computer Name = REISE02 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxdu_device" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2

Error - 17.07.2010 10:41:35 | Computer Name = REISE02 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxdu_device" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2

Error - 17.07.2010 10:44:29 | Computer Name = REISE02 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxdu_device" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2

Error - 17.07.2010 10:49:11 | Computer Name = REISE02 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxdu_device" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2

Error - 17.07.2010 10:52:24 | Computer Name = REISE02 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 17.07.2010 10:52:58 | Computer Name = REISE02 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   Aavmker4  aswSP  aswTdi  Fips  intelppm  SASDIFSV  SASKUTIL

Error - 17.07.2010 11:03:25 | Computer Name = REISE02 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 17.07.2010 11:04:13 | Computer Name = REISE02 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxdu_device" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2

Error - 20.07.2010 05:07:38 | Computer Name = REISE02 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "lxdu_device" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2

Error - 20.07.2010 05:10:07 | Computer Name = REISE02 | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.


< End of report >

__________
Gruss, Everdream
Seitenanfang Seitenende
20.07.2010, 12:10
Member

Beiträge: 20
#27 Und hier noch von GMER:

Code


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-07-20 12:07:31
Windows 5.1.2600 Service Pack 3
Running: jodfqudb.exe; Driver: C:\DOKUME~1\rbt\LOKALE~1\Temp\uxrdrpoc.sys


---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                  sector 62: copy of MBR

---- System - GMER 1.0.15 ----

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)  ZwCreateProcessEx [0xA8025B9C]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)  ZwCreateSection [0xA80259C0]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)  ZwLoadDriver [0xA8025AFA]
Code            fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)                       IoCreateDevice
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)  NtCreateSection
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)  ObInsertObject
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)  ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                 aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                 aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                               fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                               aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device          \Driver\Tcpip \Device\Ip                                                               fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                               aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\Tcpip \Device\Tcp                                                              fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\Tcpip \Device\Udp                                                              fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\Tcpip \Device\RawIp                                                            fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

__________
Gruss, Everdream
Seitenanfang Seitenende
20.07.2010, 14:34
...neu hier

Beiträge: 9
#28 Danke sehr, ich habe nun für Nachsorge gesorgt! ;)

Ich bedanke mich vom ganzen Herzen für den professionellen und schnellen Support und verabschiede mich für ungewisse Zeit von diesem Board!

Mögen eure Server lange, stabil und malwarefrei laufen!
Seitenanfang Seitenende
21.07.2010, 01:18
Moderator

Beiträge: 5694
#29

Zitat

Megagoth1702 postete
Danke sehr, ich habe nun für Nachsorge gesorgt! ;)

Ich bedanke mich vom ganzen Herzen für den professionellen und schnellen Support und verabschiede mich für ungewisse Zeit von diesem Board!

Mögen eure Server lange, stabil und malwarefrei laufen!
Danke Dir für die netten Worte ;)
Seitenanfang Seitenende
21.07.2010, 01:25
Moderator

Beiträge: 5694
#30 @ everdream

Schritt 1

Sind diese vertrauenswürdigen Seiten gewollt so eingestellt:

Zitat

O15 - HKCU\..Trusted Domains: amadeus.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeus.net ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeuscruise.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeusferry.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeusproweb.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeusvista.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: amadeusvista.de ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: portevo.de ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: sabre.com ([]https in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: sabre.com ([my] https in Vertrauenswürdige Sites)
Schritt 2

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei [url=http://www.virustotal.com/]VirusTotal[/url] online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen.

Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende [URL=http://www.hijackthis-forum.de/showthread.php?t=30790]Einstellungen[/URL] richtig gesetzt sind.

Code


C:\Dokumente und Einstellungen\rbt\Desktop\SABRE.EXE



Schritt 3

Java aktualisieren

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.

Downloade nun die Offline-Version von Java Version 6 Update 21 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

Schritt 4

Ich sehe dass Du Malwarebytes auf dem System hast. Bitte poste mir die aktuellen Logs.

Schritt 5

Downloade NoLop und speichere es auf Deinem Desktop.
• Schließe alle laufenden Programme, da das Tool den Rechner neu starten wird.
• Doppelklicke die NoLop.exe, um das Tool zu starten.
• Klicke den Search and Destroy-Button.
• Die infizierten Dateien werden gesucht.
• Wenn der Scan beendet ist wirst Du nur dann zum Reboot aufgefordert, wenn infizierte Dateien gefunden.
• Ist das der Fall, klicke auf den REBOOT-Button.
• Von NoLop kann eine Nachricht erscheinen. Bestätige, dann wird das Programm beendet.
• Wenn keine Nachricht von NoLop erscheint, bitte das Tool erneut doppelklicken und es wird die Bereinigung beenden.
• Kopiere den Inhalt von C:\NoLop.log hier in den Thread.Solltest Du diese Fehlermeldung erhalten: mscomctl.ocx or one of its dependencies are not correctly registered, bitte lade Dir mscomctl.ocx herunter und speichere das im Ordner C:\Windows\system32 und lasse anschließend das Tool erneut laufen.
Seitenanfang Seitenende