Trojaneralarm TR/Atraps.gen

#0
05.04.2010, 23:56
Member

Beiträge: 61
#1 Hallo,
ich habe vor ein paar Tagen den PC von meinem Bruder bekommen und per USB und Handy meine Dateien rübergezogen. Ich wusste schon, dass unser Haus-PC ziemlich belastet ist, weil wir kein anständiges (Internet)Virenprogramm haben. Aber ich dachte, dass es Trojaner erkennen würde.
Tja, aber anscheinend hat sich ein Trojaner über den USB in meinen PC geschlichen, denn ich habe noch nichts runtergeladen.
AntiVir hat den Trojaner TR/Atraps.gen erkannt. Beim ersten Mal habe ich ihn gelöscht, und mich ein wenig im Internet erkundigt. Da jemand geschrieben hat, dass dieser Trojaner trotz Löschung immer wieder auftritt, habe ich noch mal einen Virenscan durchlaufen lassen. Und siehe da, er ist wieder da. Habe es gelöscht, vorher aber in Quarantäne kopiert.
Viele schreiben, man müsse neu formatieren, was ich natürlich nicht gerne mache. Ich hoffe, ich bekomme hier eine andere Lösung

Wenn der Trojaner wirklich über USB kam, ist er da dann immer noch drauf? Und kann mein Handy dann auch davon betroffen werden und irgendwie zu schaden kommen?


Falls es irgendwie hilfreich sein könnte, hier ist der Teil des Reports von AntiVir über den Trohaner:
C:\System Volume Information\_restore{A4C7EF89-0ACD-4F49-A126-A03E244C10E3}\RP606\A0195302.exe
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4beb49e1.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.

________________________________________________________________

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3958

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.04.2010 23:22:57
mbam-log-2010-04-05 (23-22-57).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 99240
Laufzeit: 10 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

________________________________________________________________

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-05 23:40:41
Windows 5.1.2600 Service Pack 3
Running: 9yk4g0rq.exe; Driver: C:\DOKUME~1\RICHAR~1\LOKALE~1\Temp\uwlyypod.sys


---- System - GMER 1.0.15 ----

SSDT F8B6C26C ZwCreateThread
SSDT F8B6C258 ZwOpenProcess
SSDT F8B6C25D ZwOpenThread
SSDT F8B6C267 ZwTerminateProcess
SSDT F8B6C262 ZwWriteVirtualMemory

Code \WINDOWS\system32\ntoskrnl.exe[PAGEVRFY] [8066BEA5] pIofCallDriver
Code \WINDOWS\system32\ntoskrnl.exe[PAGEVRFY] [8066C5AF] pIofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

PAGE ntoskrnl.exe!MmAddVerifierThunks + 8C4 80624228 3 Bytes [A6, 39, 4E]
PAGE ntoskrnl.exe!MmAddVerifierThunks + 8CC 80624230 3 Bytes [C7, B2, 4D]
PAGE ntoskrnl.exe!MmAddVerifierThunks + 8D4 80624238 3 Bytes [E7, B2, 4D] {OUT 0xb2, EAX; DEC EBP}
PAGE ntoskrnl.exe!MmAddVerifierThunks + 8DD 80624241 2 Bytes [35, 4E]
PAGE ntoskrnl.exe!MmAddVerifierThunks + 8E4 80624248 3 Bytes [50, B6, 4D] {PUSH EAX; MOV DH, 0x4d}
PAGE ...
? sneatyq.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF80E0360, 0x240F7E, 0xE8000020]
.text C:\WINDOWS\system32\drivers\SSHDRV82.sys section is writeable [0xF6EE0000, 0x230A4, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\SSHDRV82.sys entry point in ".pklstb" section [0xF6F12000]
.relo2 C:\WINDOWS\system32\drivers\SSHDRV82.sys unknown last section [0xF6F28000, 0x8A, 0x42000040]
.text C:\WINDOWS\system32\drivers\ACEDRV07.sys section is writeable [0xBA860000, 0x328BA, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV07.sys entry point in ".pklstb" section [0xBA8A4000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV07.sys unknown last section [0xBA8C0000, 0x8E, 0x42000040]

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[296] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text C:\WINDOWS\system32\WgaTray.exe[2344] WININET.dll!InternetErrorDlg 4094A70B 5 Bytes JMP 0101211B C:\WINDOWS\system32\WgaTray.exe (Windows Genuine Advantage Notification/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xE2 0x63 0x26 0xF1 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x25 0xDA 0xEC 0x7E ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x83 0x6C 0x56 0x8B ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0xFA 0xEA 0x66 0x7F ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{AAC4EEED-8065-A406-6B2C-46F831F09AC0}

---- EOF - GMER 1.0.15 ----

________________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:58, on 05.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA5 - (no file)
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70 - (no file)
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70A - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0 - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE16 - (no file)
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161 - (no file)
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE1619 - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B - (no file)
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7 - (no file)
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A - (no file)
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0 - (no file)
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0F - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Grokster Support - file://C:\Programme\websearch\System\Temp\grokstershop_script0.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6376 bytes

________________________________________________________________
Uninstall List:

Adobe Acrobat - Reader 6.0.2 Update
Adobe Acrobat 6.0.1 Professional
Adobe Acrobat and Reader 6.0.3 Update
Adobe Acrobat and Reader 6.0.4 Update
Adobe Acrobat and Reader 6.0.5 Update
Adobe Acrobat and Reader 6.0.6 Update
Adobe Flash Player 10 Plugin
Avira AntiVir Personal - Free Antivirus
Compatibility Pack for the 2007 Office system
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB979306)
Malwarebytes' Anti-Malware
Microsoft Office FrontPage 2003
Microsoft Office OneNote 2003
Microsoft Office Professional Edition 2003
Microsoft Office Project Professional 2003
Microsoft Office Visio Professional 2003
Mozilla Firefox (3.6.3)
Mozilla Thunderbird (1.0)
Nero 7 Premium
NVIDIA Drivers
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player 10 (KB911565)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371-v2)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB971961)
Sicherheitsupdate für Windows XP (KB972260)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977165-v2)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978251)
Sicherheitsupdate für Windows XP (KB978706)
Update für Windows Internet Explorer 8 (KB980182)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
VC 9.0 Runtime
VideoLAN VLC media player 0.8.5
Windows Internet Explorer 8
Windows Media Format Runtime
Windows XP Service Pack 3
WinRAR

Vielen Dank für eure Hilfe
Seitenanfang Seitenende
06.04.2010, 18:16
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

• Trenne den Rechner physikalisch vom Netz.
• Deaktiviere den Hintergrundwächter deines AVP.
• Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
• Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
• Wenn der Scan zuende ist, kannst du das Programm schließen.
• Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Schritt 2

Update Adobe Reader

Adobe Reader: sehe nach, ob neuere Versionen vorhanden sind


Schritt 3

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.


Schritt 4

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
06.04.2010, 20:09
Member

Themenstarter

Beiträge: 61
#3

Code


ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:        2010/04/06 19:42
Program Version:        Version 1.3.5.0
Windows Version:        Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF6C06000    Size: 98304    File Visible: No    Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF89CD000    Size: 8192    File Visible: No    Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB8EC8000    Size: 49152    File Visible: No    Signed: -
Status: -

SSDT
-------------------
#: 053    Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf8abd5a4

#: 122    Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf8abd590

#: 128    Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf8abd595

#: 257    Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf8abd59f

#: 277    Function Name: NtWriteVirtualMemory
Status: Hooked by "<unknown>" at address 0xf8abd59a

==EOF==

Code

 OTL logfile created on: 06.04.2010 19:47:27 - Run 1
OTL by OldTimer - Version 3.2.1.0     Folder = C:\Dokumente und Einstellungen\Richard Weber\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 246,00 Mb Available Physical Memory | 48,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55,87 Gb Total Space | 35,68 Gb Free Space | 63,87% Space Free | Partition Type: FAT32
Drive D: | 4,34 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
E: Drive not present or media not loaded
Drive F: | 247,72 Mb Total Space | 247,72 Mb Free Space | 100,00% Space Free | Partition Type: FAT
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: GALLAGHER
Current User Name: Richard Weber
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Richard Weber\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
PRC - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\WgaTray.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Richard Weber\Desktop\OTL.exe (OldTimer Tools)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (iPod Service) --  File not found
SRV - (aspnet_state) --  File not found
SRV - (getPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.)
SRV - (AntiVirScheduler) -- C:\Programme\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (Macromedia Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe ()
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys ()
DRV - (avgntflt) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys (Avira GmbH)
DRV - (avgntdd) -- C:\WINDOWS\system32\drivers\avgntdd.sys (Avira GmbH)
DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (avgntmgr) -- C:\WINDOWS\SYSTEM32\drivers\avgntmgr.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (AVIRA GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys (Avira GmbH)
DRV - (ACEDRV07) -- C:\WINDOWS\system32\drivers\ACEDRV07.sys (Protect Software GmbH)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (AR5211) -- C:\WINDOWS\system32\drivers\ar5211.sys (Atheros Communications, Inc.)
DRV - (STEC3) -- C:\WINDOWS\system32\STEC3.sys (AntiCracking)
DRV - (SSHDRV82) -- C:\WINDOWS\system32\drivers\SSHDRV82.sys ()
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\rtl8139.sys (Realtek Semiconductor Corporation)
DRV - (SSHDRV62) -- C:\WINDOWS\system32\drivers\SSHDRV62.sys ()
DRV - (SymEvent) -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS (Symantec Corporation)
DRV - (Ser2pl) -- C:\WINDOWS\system32\drivers\ser2pl.sys (Prolific Technology Inc.)
DRV - (IdeChnDr) Intel(R) -- C:\WINDOWS\system32\DRIVERS\IdeChnDr.sys (Intel Corporation)
DRV - (IdeBusDr) -- C:\WINDOWS\system32\DRIVERS\IdeBusDr.sys (Intel Corporation)
DRV - (DFE528TX) -- C:\WINDOWS\system32\drivers\DLKRTL.SYS (D-Link Corporation               )
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (MODEMCSA) -- C:\WINDOWS\system32\drivers\MODEMCSA.sys (Microsoft Corporation)
DRV - (irsir) -- C:\WINDOWS\system32\drivers\irsir.sys (Microsoft Corporation)
DRV - (ac97intc) Intel(r) 82801 Audiotreiber-Installationsdienst (WDM) -- C:\WINDOWS\system32\drivers\ac97intc.sys (Intel Corporation)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Prev Search Page = http://google.icq.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://www.allyve.com"
FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.2.1.18
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.63
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&q="

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2004.10.06 10:31:34 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2004.10.06 10:31:32 | 000,000,000 | ---D | M]

[2008.08.30 11:57:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Extensions
[2004.10.05 18:31:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\extensions
[2010.04.04 12:33:30 | 000,000,000 | ---D | M] (FlashGot) -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
[2010.04.06 19:33:40 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.04.04 00:40:12 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-9.xml
[2009.01.04 14:31:28 | 000,001,504 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\imdb.xml
[2008.04.21 14:06:34 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-10.xml
[2008.07.02 21:00:54 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-11.xml
[2008.07.16 19:47:38 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-12.xml
[2008.08.22 13:43:34 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-13.xml
[2008.08.30 12:22:20 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-14.xml
[2008.10.10 14:45:02 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-15.xml
[2008.10.11 12:07:16 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-16.xml
[2008.11.25 14:22:38 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-17.xml
[2008.11.25 14:26:30 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-18.xml
[2008.01.31 13:01:04 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin.xml
[2008.02.03 12:38:24 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-5.xml
[2008.02.04 10:52:30 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-7.xml
[2008.02.05 15:54:14 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-4.xml
[2008.02.06 09:09:30 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-2.xml
[2008.02.07 22:32:36 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-3.xml
[2008.02.08 17:04:40 | 000,000,949 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\searchplugins\icqplugin-1.xml
[2004.10.05 18:32:04 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2004.01.14 03:09:26 | 000,176,176 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\npViewpoint.dll
[2006.08.07 14:28:30 | 000,114,688 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\npmozax.dll
[2006.05.06 18:42:04 | 000,478,720 | ---- | M] (VideoLAN Team) -- C:\Programme\Mozilla Firefox\plugins\npvlc.dll
[2006.05.06 18:42:04 | 007,260,160 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\libvlc.dll
[2010.04.04 12:30:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.04.04 12:30:00 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.04 12:30:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.04 12:30:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.04.04 12:30:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2006.02.01 15:16:56 | 000,140,740 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       ads.tripod.com
O1 - Hosts: 127.0.0.1       ads.web.aol.com
O1 - Hosts: 127.0.0.1       ads.x10.com
O1 - Hosts: 127.0.0.1       ads.xtra.co.nz
O1 - Hosts: 127.0.0.1       ads.zdnet.com
O1 - Hosts: 127.0.0.1       ads01.focalink.com
O1 - Hosts: 127.0.0.1       ads02.focalink.com
O1 - Hosts: 127.0.0.1       ads03.focalink.com
O1 - Hosts: 127.0.0.1       ads04.focalink.com
O1 - Hosts: 127.0.0.1       ads05.focalink.com
O1 - Hosts: 127.0.0.1       ads06.focalink.com
O1 - Hosts: 127.0.0.1       ads08.focalink.com
O1 - Hosts: 127.0.0.1       ads09.focalink.com
O1 - Hosts: 127.0.0.1       ads1.activeagent.at
O1 - Hosts: 127.0.0.1       ads1.ad-flow.com
O1 - Hosts: 127.0.0.1       ads10.focalink.com
O1 - Hosts: 127.0.0.1       ads11.focalink.com
O1 - Hosts: 127.0.0.1       ads12.focalink.com
O1 - Hosts: 127.0.0.1       ads14.focalink.com
O1 - Hosts: 127.0.0.1       ads16.focalink.com
O1 - Hosts: 127.0.0.1       ads17.focalink.com
O1 - Hosts: 127.0.0.1       ads18.focalink.com
O1 - Hosts: 127.0.0.1       ads19.focalink.com
O1 - Hosts: 127.0.0.1       ads2.zdnet.com
O1 - Hosts: 127.0.0.1       ads20.focalink.com
O1 - Hosts: 3862 more lines...
O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA5 - No CLSID value found.
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70 - No CLSID value found.
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70A - No CLSID value found.
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE - No CLSID value found.
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0 - No CLSID value found.
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE16 - No CLSID value found.
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161 - No CLSID value found.
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE1619 - No CLSID value found.
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B - No CLSID value found.
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7 - No CLSID value found.
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A - No CLSID value found.
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0 - No CLSID value found.
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0F - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll File not found
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O3 - HKLM\..\Toolbar: (no name) - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\RunOnce: [Uninstall Adobe Download Manager] C:\Programme\NOS\bin\getPlus_Helper.DLL (NOS Microsystems Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisableCurrentUserRun = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisableCurrentUserRunOnce = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisableLocalMachineRunOnce = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisableLocalMachineRun = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 36
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoToolbarCustomize = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = FF FF FF FF  [binary data]
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe File not found
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37991.5258449074 (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003.11.17 18:47:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2010.04.06 19:26:46 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2010.04.06 19:26:46 | 000,000,000 | RHSD | M] - F:\autorun.inf -- [ FAT ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2085.12.22 18:42:24 | 000,125,712 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\vb6de.dll
[2085.12.22 18:42:24 | 000,118,784 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSSTDFMT.DLL
[2085.12.22 18:42:24 | 000,006,656 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\stdftde.dll
[2010.04.06 19:46:27 | 000,561,664 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\OTL.exe
[2010.04.06 19:41:36 | 000,472,064 | ---- | C] ( ) -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\RootRepeal.exe
[2010.04.06 19:37:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Desktop\Installationsprogramm für Adobe Reader 9
[2010.04.06 19:33:45 | 000,000,000 | ---D | C] -- C:\Programme\NOS
[2010.04.06 19:33:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
[2010.04.06 19:26:44 | 000,000,000 | RHSD | C] -- C:\autorun.inf
[2010.04.06 19:11:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Downloads
[2010.04.05 23:42:45 | 000,396,288 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\HijackThis.exe
[2010.04.05 23:42:07 | 000,812,344 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\HijackThisInstaller.exe
[2010.04.05 23:07:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\Malwarebytes
[2010.04.05 23:07:08 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.05 23:07:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.05 23:06:59 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.05 23:06:59 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.04.05 23:01:00 | 005,918,776 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\mbam-setup.exe
[2010.04.05 21:42:00 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Richard Weber\PrivacIE
[2010.04.05 17:34:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\My eBooks
[2010.04.05 17:31:50 | 000,000,000 | ---D | C] -- C:\Eine schrecklich nette Familie
[2010.04.04 21:52:42 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$hf_mig$
[2010.04.04 01:55:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2010.04.04 01:07:22 | 000,032,128 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbccgp.sys
[2010.04.04 00:52:12 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msfeedsbs.dll
[2010.04.04 00:52:11 | 001,985,536 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iertutil.dll
[2010.04.04 00:52:08 | 000,594,432 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msfeeds.dll
[2010.04.04 00:35:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Noten
[2010.04.04 00:31:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\anderes
[2010.04.03 18:44:07 | 000,470,048 | ---- | C] (Atheros Communications, Inc.) -- C:\WINDOWS\System32\drivers\ar5211.sys
[2010.04.03 18:44:07 | 000,470,048 | ---- | C] (Atheros Communications, Inc.) -- C:\WINDOWS\System32\ar5211.sys
[2010.04.03 16:50:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TP-LINK
[2010.04.03 16:49:47 | 000,000,000 | ---D | C] -- C:\Programme\TP-LINK
[2010.04.03 16:49:03 | 000,000,000 | ---D | C] -- C:\temp
[2010.04.03 16:42:22 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Bilder
[2010.04.03 16:42:10 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Richard Weber\IETldCache
[2010.04.03 16:41:36 | 000,000,000 | -HSD | C] -- C:\FOUND.002
[2010.03.30 21:56:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM
[2010.03.30 21:54:41 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2003.11.17 18:51:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2003.11.17 18:51:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2003.11.17 18:22:00 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2003.11.17 18:22:00 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2085.12.22 18:42:24 | 000,125,712 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\vb6de.dll
[2085.12.22 18:42:24 | 000,118,784 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\MSSTDFMT.DLL
[2085.12.22 18:42:24 | 000,006,656 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\stdftde.dll
[2010.04.06 19:46:24 | 000,561,664 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\OTL.exe
[2010.04.06 19:41:48 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\settings.dat
[2010.04.06 19:41:14 | 000,465,298 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\RootRepeal.rar
[2010.04.06 19:38:22 | 000,001,613 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.04.06 19:30:46 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.06 19:29:04 | 000,063,804 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.04.06 19:28:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.06 19:27:16 | 010,747,904 | -H-- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\NTUSER.DAT
[2010.04.06 19:27:16 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\ntuser.ini
[2010.04.06 19:18:56 | 000,132,597 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Flash_Disinfector.exe
[2010.04.06 19:09:40 | 000,000,229 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.04.06 14:21:30 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.04.06 01:11:20 | 000,076,288 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.05 23:55:10 | 000,081,920 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Hallo.doc
[2010.04.05 23:42:48 | 000,001,445 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\HijackThis.lnk
[2010.04.05 23:42:46 | 000,396,288 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\HijackThis.exe
[2010.04.05 23:42:10 | 000,812,344 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\HijackThisInstaller.exe
[2010.04.05 23:32:54 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\9yk4g0rq.exe
[2010.04.05 23:01:40 | 005,918,776 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\mbam-setup.exe
[2010.04.05 12:25:20 | 000,206,336 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Japanische Geschichte.doc
[2010.04.04 21:53:02 | 000,075,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.04.04 14:54:20 | 000,000,140 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\default.pls
[2010.04.04 11:51:22 | 000,359,344 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.04.04 02:18:02 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.04.04 02:10:06 | 000,000,857 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.04.03 16:51:50 | 000,796,748 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.03 16:51:50 | 000,343,774 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.03 16:51:50 | 000,333,670 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.03 16:51:50 | 000,060,710 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.03 16:51:50 | 000,050,008 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.03.30 21:37:42 | 000,348,408 | -H-- | M] () -- C:\WINDOWS\System32\vsconfig.xml
[2010.03.30 17:22:32 | 000,114,688 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Ainu - Begriffe.doc
[2010.03.30 00:46:30 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.30 00:45:52 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.03.23 10:40:48 | 000,107,008 | ---- | M] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Ainu.doc
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.04.06 19:41:47 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\settings.dat
[2010.04.06 19:41:20 | 000,465,298 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\RootRepeal.rar
[2010.04.06 19:38:21 | 000,001,613 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.04.06 19:19:03 | 000,132,597 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Flash_Disinfector.exe
[2010.04.05 23:42:46 | 000,001,445 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\HijackThis.lnk
[2010.04.05 23:33:05 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\9yk4g0rq.exe
[2010.04.05 23:06:12 | 000,081,920 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Hallo.doc
[2010.04.05 18:32:26 | 238,977,590 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\[GAX&NTFS]Fullmetal_Alchemist_(2009)_-_38(ger.sub)[XviD][3BB866A8].avi
[2010.04.05 16:41:32 | 346,054,694 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\17 - Kühle Flammen.mkv
[2010.04.05 16:38:32 | 346,050,971 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Desktop\18 - Die überheblichen Hände der kleinen Menschen.mkv
[2010.04.05 01:02:18 | 000,206,336 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Japanische Geschichte.doc
[2010.04.04 00:39:45 | 000,074,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\japanisch.doc
[2010.04.04 00:39:35 | 000,114,688 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Ainu - Begriffe.doc
[2010.04.04 00:39:34 | 000,107,008 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Eigene Dateien\Ainu.doc
[2010.04.03 18:44:07 | 000,042,484 | ---- | C] () -- C:\WINDOWS\System32\net5211.inf
[2010.04.03 18:44:07 | 000,000,026 | ---- | C] () -- C:\WINDOWS\System32\net5211.cat
[2008.08.27 12:55:32 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys
[2008.05.25 00:03:48 | 000,093,696 | ---- | C] () -- C:\WINDOWS\System32\hpgt42.dll
[2007.09.25 17:42:24 | 000,031,744 | ---- | C] () -- C:\WINDOWS\System32\cygintl-3.dll
[2007.09.25 17:42:23 | 001,090,048 | ---- | C] () -- C:\WINDOWS\System32\cygxml2-2.dll
[2007.09.25 17:42:23 | 000,066,048 | ---- | C] () -- C:\WINDOWS\System32\cygz.dll
[2007.09.25 17:42:22 | 000,969,728 | ---- | C] () -- C:\WINDOWS\System32\cygiconv-2.dll
[2007.09.25 17:42:22 | 000,235,520 | ---- | C] () -- C:\WINDOWS\System32\cygpng12.dll
[2007.09.25 17:42:21 | 000,383,488 | ---- | C] () -- C:\WINDOWS\System32\cygfreetype-6.dll
[2007.07.24 12:55:53 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2007.07.03 16:52:10 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\default.pls
[2007.03.30 11:56:11 | 000,000,083 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2007.02.25 15:59:30 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\.gtk-bookmarks
[2007.02.19 13:21:03 | 000,000,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\FixVTS.ini
[2006.11.28 12:23:25 | 000,224,768 | ---- | C] () -- C:\WINDOWS\System32\b4fm.dll
[2006.08.15 19:37:25 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.06.19 17:39:48 | 000,019,456 | ---- | C] () -- C:\WINDOWS\System32\xrxscnui.dll
[2006.06.01 17:22:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.06.01 17:22:00 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2006.06.01 17:22:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.06.01 17:22:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.06.01 17:22:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.06.01 17:22:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.06.01 17:22:00 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2006.03.29 12:17:33 | 000,000,325 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Anwendungsdaten\AutoGK.ini
[2006.02.07 20:16:57 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006.02.06 15:55:00 | 000,002,602 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\reglog.txt
[2006.01.25 18:44:35 | 000,000,132 | ---- | C] () -- C:\WINDOWS\TEXTWARE.INI
[2005.12.10 15:48:58 | 000,000,099 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2005.12.10 15:46:23 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDED68PE.ini
[2005.09.18 14:08:33 | 000,000,004 | ---- | C] () -- C:\WINDOWS\msoffice.ini
[2005.03.04 17:58:24 | 000,000,229 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2005.01.18 09:25:51 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.dat.LOG
[2005.01.03 17:08:56 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS66.DLL
[2004.12.09 22:06:00 | 000,001,628 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\.plugin141.trace
[2004.12.08 11:29:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI
[2004.11.18 22:04:48 | 000,000,029 | ---- | C] () -- C:\WINDOWS\AlphaPlayer.INI
[2004.11.11 18:54:59 | 000,076,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV82.sys
[2004.11.02 16:33:57 | 000,000,122 | ---- | C] () -- C:\WINDOWS\telephon.ini
[2004.04.29 18:31:05 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\CNMVS50.DLL
[2004.03.05 13:20:03 | 000,000,312 | ---- | C] () -- C:\WINDOWS\NetWatcherPro.ini
[2004.03.02 14:44:48 | 000,000,779 | ---- | C] () -- C:\WINDOWS\txp-lcn.ini
[2004.03.02 14:37:51 | 000,000,034 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004.02.17 17:53:32 | 000,000,053 | ---- | C] () -- C:\WINDOWS\BYCLEAN.INI
[2004.01.09 15:28:30 | 000,000,040 | ---- | C] () -- C:\WINDOWS\nero.INI
[2003.12.11 16:28:33 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV62.sys
[2003.12.04 16:59:04 | 000,000,229 | ---- | C] () -- C:\WINDOWS\VCDISC.INI
[2003.12.02 19:25:03 | 000,001,504 | ---- | C] () -- C:\WINDOWS\WOC_CDDA.ini
[2003.12.02 19:24:14 | 000,048,831 | ---- | C] () -- C:\WINDOWS\cddabase.ini
[2003.11.27 23:10:34 | 000,000,848 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2003.11.26 14:21:30 | 000,000,321 | ---- | C] () -- C:\WINDOWS\SthVCD.INI
[2003.11.26 11:36:02 | 000,000,070 | ---- | C] () -- C:\WINDOWS\Morphexe.INI
[2003.11.26 11:02:45 | 000,000,057 | ---- | C] () -- C:\WINDOWS\emule.INI
[2003.11.25 19:53:37 | 000,000,013 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DirectCDUserNameE.txt
[2003.11.20 20:31:14 | 000,000,342 | ---- | C] () -- C:\WINDOWS\tm.ini
[2003.11.20 17:46:07 | 000,003,533 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2003.11.20 16:07:38 | 000,001,157 | ---- | C] () -- C:\WINDOWS\Winamp.ini
[2003.11.20 16:07:08 | 000,000,041 | ---- | C] () -- C:\WINDOWS\winampa.ini
[2003.11.18 10:27:04 | 000,076,288 | ---- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2003.11.18 00:20:23 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2003.11.17 22:43:33 | 000,000,748 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2003.11.17 18:54:41 | 000,000,300 | -HS- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\ntuser.ini
[2003.11.17 18:54:40 | 010,747,904 | -H-- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\NTUSER.DAT
[2003.11.17 18:54:40 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\Richard Weber\NTUSER.DAT.LOG
[2003.09.09 22:37:16 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\avisynth_c.dll
[2003.03.31 16:49:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\DvdKeyAuth.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002.05.16 01:38:40 | 000,091,136 | ---- | C] () -- C:\WINDOWS\System32\mp4fil32.dll
[2002.05.04 15:19:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\avisynthEx.dll
[2002.02.27 17:50:00 | 000,197,120 | ---- | C] () -- C:\WINDOWS\System32\patchw32.dll
[2000.10.16 16:16:38 | 000,225,280 | ---- | C] () -- C:\WINDOWS\System32\Scint100.dll
[2000.10.16 16:16:38 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\sccres100.dll
< End of report >


Code

 OTL Extras logfile created on: 06.04.2010 19:47:27 - Run 1
OTL by OldTimer - Version 3.2.1.0     Folder = C:\Dokumente und Einstellungen\Richard Weber\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 246,00 Mb Available Physical Memory | 48,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55,87 Gb Total Space | 35,68 Gb Free Space | 63,87% Space Free | Partition Type: FAT32
Drive D: | 4,34 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
E: Drive not present or media not loaded
Drive F: | 247,72 Mb Total Space | 247,72 Mb Free Space | 100,00% Space Free | Partition Type: FAT
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: GALLAGHER
Current User Name: Richard Weber
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --one-instance-when-started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --one-instance-when-started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"3389:TCP" = 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0 -- File not found
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe:*:Enabled:AOL -- File not found
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe:*:Enabled:AOL -- File not found
"C:\Programme\AOL 9.0a\waol.exe" = C:\Programme\AOL 9.0a\waol.exe:*:Enabled:AOL 9.0a -- File not found
"C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" = C:\Programme\Windows Live\Messenger\MsnMsgr.Exe:*:Enabled:Windows Live Messenger -- File not found
"C:\Programme\Windows Live\Messenger\livecall.exe" = C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone) -- File not found

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Tweak-XP\Blads.exe" = C:\Programme\Tweak-XP\Blads.exe:*:Disabled:Ad Blocker of Tweak-XP -- File not found
"C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0 -- File not found
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe:*:Enabled:AOL -- File not found
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe:*:Enabled:AOL -- File not found
"C:\Programme\AOL 9.0a\waol.exe" = C:\Programme\AOL 9.0a\waol.exe:*:Enabled:AOL 9.0a -- File not found
"C:\Programme\uTorrent\utorrent.exe" = C:\Programme\uTorrent\utorrent.exe:*:Enabled:µTorrent -- File not found
"C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" = C:\Programme\Windows Live\Messenger\MsnMsgr.Exe:*:Enabled:Windows Live Messenger -- File not found
"C:\Programme\Windows Live\Messenger\livecall.exe" = C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone) -- File not found
"C:\Programme\FlashGet\flashget.exe" = C:\Programme\FlashGet\flashget.exe:*:Enabled:Flashget -- File not found


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{4781569D-5404-1F26-4B2B-6DF444441031}" = Nero 7 Premium
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90170407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office FrontPage 2003
"{903B0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Project Professional 2003
"{90510407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Visio Professional 2003
"{90A10407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office OneNote 2003
"{A040AC77-C1AA-4CC9-8931-9F648AF178F6}" = VC 9.0 Runtime
"{AC76BA86-0000-0000-0000-6028747ADE01}" = Adobe Acrobat - Reader 6.0.2 Update
"{AC76BA86-0000-7EC8-7489-000000000603}" = Adobe Acrobat and Reader 6.0.3 Update
"{AC76BA86-0000-7EC8-7489-000000000604}" = Adobe Acrobat and Reader 6.0.4 Update
"{AC76BA86-0000-7EC8-7489-000000000605}" = Adobe Acrobat and Reader 6.0.5 Update
"{AC76BA86-0000-7EC8-7489-000000000606}" = Adobe Acrobat and Reader 6.0.6 Update
"{AC76BA86-1033-0000-7760-000000000001}" = Adobe Acrobat 6.0.1 Professional
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AntiVir PersonalEdition Classic" = Avira AntiVir Personal - Free Antivirus
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"Mozilla Thunderbird (1.0)" = Mozilla Thunderbird (1.0)
"NVIDIA Drivers" = NVIDIA Drivers
"VLC media player" = VideoLAN VLC media player 0.8.5
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 09.10.2007 06:59:37 | Computer Name = GALLAGHER | Source = MsiInstaller | ID = 11933
Description = Produkt: Windows Movie Maker 2.0 -- Fehler 1933.Setup benötigt zum
Konfigurieren von IIS-Stammverzeichnissen IIS 4.0 oder höher. Stellen Sie sicher,
dass Sie IIS 4.0 oder höher installiert haben.

Error - 31.01.2008 07:50:57 | Computer Name = GALLAGHER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei.  .

Error - 30.06.2008 15:04:44 | Computer Name = GALLAGHER | Source = Windows Live Messenger | ID = 1000
Description =

Error - 03.12.2008 11:07:52 | Computer Name = GALLAGHER | Source = Avira AntiVir | ID = 4112
Description = Bei der Anforderung nach einer Resource des Betriebssystems trat ein
Fehler auf.  Die Resource 'INIT11' wurde nicht zugewiesen.  Der Grund hierfür könnte
zu wenig Hauptspeicher oder ein anderer Systemfehler sein.  Fehlercode:

Error - 04.12.2008 03:14:58 | Computer Name = GALLAGHER | Source = Avira AntiVir | ID = 4112
Description = Bei der Anforderung nach einer Resource des Betriebssystems trat ein
Fehler auf.  Die Resource 'INIT11' wurde nicht zugewiesen.  Der Grund hierfür könnte
zu wenig Hauptspeicher oder ein anderer Systemfehler sein.  Fehlercode:

Error - 04.12.2008 04:23:02 | Computer Name = GALLAGHER | Source = Avira AntiVir | ID = 4112
Description = Bei der Anforderung nach einer Resource des Betriebssystems trat ein
Fehler auf.  Die Resource 'INIT11' wurde nicht zugewiesen.  Der Grund hierfür könnte
zu wenig Hauptspeicher oder ein anderer Systemfehler sein.  Fehlercode:

[ System Events ]
Error - 30.03.2010 14:50:21 | Computer Name = GALLAGHER | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst TrueVector
Internet Monitor.

Error - 30.03.2010 14:50:21 | Computer Name = GALLAGHER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "TrueVector Internet Monitor" wurde aufgrund folgenden
Fehlers nicht gestartet:   %%1053

Error - 03.04.2010 10:44:37 | Computer Name = GALLAGHER | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.

Error - 03.04.2010 11:00:05 | Computer Name = GALLAGHER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "AEGIS Protocol (IEEE 802.1x) v3.4.10.0" wurde aufgrund
folgenden Fehlers nicht gestartet:   %%2

Error - 03.04.2010 11:55:27 | Computer Name = GALLAGHER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "AEGIS Protocol (IEEE 802.1x) v3.4.10.0" wurde aufgrund
folgenden Fehlers nicht gestartet:   %%2

Error - 03.04.2010 12:41:58 | Computer Name = GALLAGHER | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.


< End of report >
Seitenanfang Seitenende
06.04.2010, 20:33
Moderator

Beiträge: 5694
#4 Schritt 1

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:filefind
sneatyq.sys

:regfind
sneatyq.sys
• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.


Schritt 2

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA5 - No CLSID value found.
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70 - No CLSID value found.
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70A - No CLSID value found.
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE - No CLSID value found.
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0 - No CLSID value found.
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE16 - No CLSID value found.
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161 - No CLSID value found.
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE1619 - No CLSID value found.
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B - No CLSID value found.
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7 - No CLSID value found.
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A - No CLSID value found.
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0 - No CLSID value found.
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0F - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe File not found
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread


Schritt 3

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.
BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte füge das C:\ComboFix.txt Log in deiner Antwort im Forum bei, so dass wir uns diese analysieren können.
Seitenanfang Seitenende
06.04.2010, 23:36
Member

Themenstarter

Beiträge: 61
#5

Code

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 22:30 on 06/04/2010 by Richard Weber (Administrator - Elevation successful)

========== filefind ==========

Searching for "sneatyq.sys"
No files found.

========== regfind ==========

Searching for "sneatyq.sys"
No data found.

-=End Of File=-


Code


All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04079851-5845-4dea-848C-3ECD647AA5\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04079851-5845-4dea-848C-3ECD647AA5\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0494D0D1-F8E0-41ad-92A3-14154ECE70\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D1-F8E0-41ad-92A3-14154ECE70\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0494D0D1-F8E0-41ad-92A3-14154ECE70A\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0494D0D1-F8E0-41ad-92A3-14154ECE70A\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE16\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE7CD045-E861-484f-8273-0445EE16\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE7CD045-E861-484f-8273-0445EE161\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE1619\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE7CD045-E861-484f-8273-0445EE1619\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1E58A84-95B3-4630-B8C2-D06B77B\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1E58A84-95B3-4630-B8C2-D06B77B7\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1E58A84-95B3-4630-B8C2-D06B77B7A\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1E58A84-95B3-4630-B8C2-D06B77B7A0\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1E58A84-95B3-4630-B8C2-D06B77B7A0F\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1E58A84-95B3-4630-B8C2-D06B77B7A0F\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Richard Weber
->Temp folder emptied: 36934693 bytes
->Temporary Internet Files folder emptied: 157977317 bytes
->Java cache emptied: 14748046 bytes
->FireFox cache emptied: 85373922 bytes
->Flash cache emptied: 40749 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3406126 bytes
RecycleBin emptied: 632594099 bytes

Total Files Cleaned = 888,00 mb

Error: Unable to interpret <Quelle: http://board.protecus.de/t39446.htm#ixzz0kM2C358O> in the current context!

OTL by OldTimer - Version 3.2.1.0 log created on 04062010_223535

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Code


ComboFix 10-04-05.06 - Richard Weber 06.04.2010  23:14:50.1.1 - FAT32x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.316 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Richard Weber\Desktop\Combo-Fix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804E5358-FFA4-00DB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804E5358-FFA4-00EC-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804E5358-FFA4-00FD-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Richard Weber\Anwendungsdaten\BITS
c:\dokumente und einstellungen\Richard Weber\Anwendungsdaten\BITS\BITS.ini
c:\dokumente und einstellungen\Richard Weber\Anwendungsdaten\BITS\DHTTable.dat
c:\dokumente und einstellungen\Richard Weber\Anwendungsdaten\BITS\ProxyList.ini
c:\recycled\NPROTECT
c:\windows\system32\STEC3.sys

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_STEC3
-------\Service_STEC3


(((((((((((((((((((((((   Dateien erstellt von 2010-03-06 bis 2010-04-06  ))))))))))))))))))))))))))))))
.

2085-12-22 16:42 . 2085-12-22 16:42    6656    ----a-w-    c:\windows\system32\stdftde.dll
2085-12-22 16:42 . 2085-12-22 16:42    125712    ----a-w-    c:\windows\system32\vb6de.dll
2085-12-22 16:42 . 2085-12-22 16:42    118784    ----a-w-    c:\windows\system32\MSSTDFMT.DLL
2010-04-06 20:35 . 2010-04-06 20:35    --------    d-----w-    C:\_OTL
2010-04-06 17:40 . 2010-04-06 17:40    --------    d-----w-    c:\dokumente und einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-04-05 21:07 . 2010-04-05 21:07    --------    d-----w-    c:\dokumente und einstellungen\Richard Weber\Anwendungsdaten\Malwarebytes
2010-04-05 21:07 . 2010-03-29 22:46    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-05 21:07 . 2010-04-05 21:07    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-05 21:06 . 2010-04-05 21:07    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-04-05 21:06 . 2010-03-29 22:45    20824    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-04-05 19:42 . 2010-04-05 19:42    --------    d-sh--w-    c:\dokumente und einstellungen\Richard Weber\PrivacIE
2010-04-05 15:31 . 2010-04-05 15:31    --------    d-----w-    C:\Eine schrecklich nette Familie
2010-04-04 19:52 . 2010-04-04 19:52    --------    d--h--w-    c:\windows\$hf_mig$
2010-04-03 23:55 . 2010-04-03 23:55    --------    d-----w-    c:\windows\ie8updates
2010-04-03 23:07 . 2008-04-13 18:45    32128    ----a-w-    c:\windows\system32\drivers\usbccgp.sys
2010-04-03 23:07 . 2008-04-13 18:45    32128    ----a-w-    c:\windows\system32\dllcache\usbccgp.sys
2010-04-03 22:52 . 2010-02-25 06:15    55296    ------w-    c:\windows\system32\dllcache\msfeedsbs.dll
2010-04-03 22:52 . 2010-02-25 06:15    247808    ------w-    c:\windows\system32\dllcache\ieproxy.dll
2010-04-03 22:52 . 2010-02-25 06:15    1985536    ------w-    c:\windows\system32\dllcache\iertutil.dll
2010-04-03 22:52 . 2010-02-25 06:15    12800    ------w-    c:\windows\system32\dllcache\xpshims.dll
2010-04-03 22:52 . 2010-02-25 06:15    594432    ------w-    c:\windows\system32\dllcache\msfeeds.dll
2010-04-03 16:44 . 2005-12-21 08:16    470048    ----a-w-    c:\windows\system32\drivers\ar5211.sys
2010-04-03 16:44 . 2005-12-21 08:16    470048    ----a-w-    c:\windows\system32\ar5211.sys
2010-04-03 14:50 . 2010-04-03 14:51    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\TP-LINK
2010-04-03 14:49 . 2010-04-03 14:49    --------    d-----w-    c:\programme\TP-LINK
2010-04-03 14:49 . 2010-04-03 14:49    --------    d-----w-    C:\temp
2010-04-03 14:42 . 2010-04-03 14:42    --------    d-sh--w-    c:\dokumente und einstellungen\Richard Weber\IETldCache
2010-04-03 14:41 . 2010-04-03 14:41    --------    d-----w-    C:\FOUND.002
2010-03-30 19:54 . 2010-03-30 19:54    --------    d--h--w-    c:\windows\ie8

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-04 19:53 . 2007-04-19 15:26    75096    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2010-04-04 10:33 . 2008-10-05 12:01    177024    ----a-w-    c:\dokumente und einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\FlashGot.exe
2010-04-03 14:51 . 2001-08-23 10:00    60710    ----a-w-    c:\windows\system32\perfc007.dat
2010-04-03 14:51 . 2001-08-23 10:00    343774    ----a-w-    c:\windows\system32\perfh007.dat
2010-02-25 06:15 . 2004-02-06 16:07    916480    ----a-w-    c:\windows\system32\wininet.dll
2006-05-06 16:42 . 2006-10-07 15:26    7260160    ----a-w-    c:\programme\mozilla firefox\plugins\libvlc.dll
2003-11-27 21:14 . 2003-11-27 21:10    848    --sha-w-    c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"DisableCurrentUserRun"= 0 (0x0)
"DisableCurrentUserRunOnce"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:22    15360    ------w-    c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2006-06-01 15:22    7618560    ----a-w-    c:\windows\system32\nvcpl.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [01.02.2006 15:37 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [01.02.2006 15:37 45376]
R1 SSHDRV62;SSHDRV62;c:\windows\system32\drivers\SSHDRV62.sys [11.12.2003 16:28 108032]
R1 SSHDRV82;SSHDRV82;c:\windows\system32\drivers\SSHDRV82.sys [11.11.2004 18:54 76288]
S3 DFE528TX;D-Link DFE-528TX PCI Adapter;c:\windows\system32\drivers\DLKRTL.SYS [02.11.2004 21:14 45568]
S3 PCD62X2;PCD62X2;\??\c:\dokume~1\RICHAR~1\LOKALE~1\Temp\PCD62X2.sys --> c:\dokume~1\RICHAR~1\LOKALE~1\Temp\PCD62X2.sys [?]
S3 WINFOXIO;WINFOXIO;\??\c:\windows\system32\Drivers\WINFOXIO.SYS --> c:\windows\system32\Drivers\WINFOXIO.SYS [?]
.
Inhalt des "geplante Tasks" Ordners

2010-04-06 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-09-29 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
mWindow Title = Microsoft Internet Explorer
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Grokster Support - file://c:\programme\websearch\System\Temp\grokstershop_script0.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Richard Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\fkiy0iht.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.allyve.com
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npViewpoint.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npvlc.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-ALUAlert - c:\programme\Symantec\LiveUpdate\ALUNotify.exe
MSConfigStartUp-AVGCtrl - c:\programme\AVPersonal\AVGNT.EXE
MSConfigStartUp-AVSCHED32 - c:\programme\AVPersonal\AVSched32.EXE
MSConfigStartUp-BlockAds - c:\programme\Tweak-XP\blads.exe
MSConfigStartUp-RAM Idle - c:\programme\Customizer XP\RAMIdle.exe
MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-06 23:26
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-515967899-329068152-682003330-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData*]
"OfflineKey"="f2il02yz+PoZfjShe/bLtuIDuYUBXeXUSWODhqNUumuillSxrfUfT0bxarmfYtLp4zQvX/frLlkGRzjW8wFj1YIjNQTkcipaGHiRsqxfWeML3zNdlQAR2qpUclY4tqG7hrq0toHzSqNvyr03dnd293CDD57I+nETnlnnu4AKgI3ULnXKu/K2ZzeRLfLPDBgAPUy1D3ancm3tlUij0+XCew==XkW7KTUw4/ERXZYHib2UcoL0C2ZB96ivDmVp8Hxoud4WhbS+FPwy3zwTLhtuwow5VXDxMiadgorR9F/GSnOdBg=="
"InitTime"=dword:00009709
"LastTime"=dword:00009709
"Keyindex"=dword:00000000

[HKEY_USERS\S-1-5-21-515967899-329068152-682003330-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-515967899-329068152-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{AAC4EEED-8065-A406-6B2C-46F831F09AC0}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\*–€|ÿÿÿÿ;•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3180)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\WgaTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-06  23:29:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-04-06 21:29

Vor Suchlauf: 8 Verzeichnis(se), 39.181.713.408 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 39.108.018.176 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 6DCABBC5485739E774E20292870D3AE8
Seitenanfang Seitenende
07.04.2010, 12:50
Moderator

Beiträge: 5694
#6 Schritt 1

Eset Online Scanner (NOD32)
• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Voraussetzung: Internet Explorer (IE) 5.0 oder höher
• Haken bei "YES, I accept the Terms of Use" machen
• Start
• ActiveX-Steuerelement installieren
• Start
• Signaturen werden heruntergeladen
• Haken machen bei "Remove found threads"
• Haken machen bei "Remove found threads" und "Scan unwanted applications"
• Scan
• Scanende
• Browser schließen
• Explorer öffnen
• C:\Programme\EsetOnlineScanner\log.txt
• Log hier posten
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen.


Schritt 2

Rootkitsuche mit Avira AntiRootkit

Lade Avira AntiRootkit herunter, indem Du auf den Download-Button klickst. Speichere die Datei auf Deinem Desktop.

• Du solltest jetzt antivir_rootkit.zip auf Deinem Desktop finden.
• Entpacke das Archiv auf Deinen Desktop (antivir_rootkit.zip kannst Du jetzt manuell löschen).
• Doppelklick auf die avirarkd.exe => OK.
• Klicke auf Start scan.
• Wenn der Suchlauf beendet ist, klicke auf View report und kopiere das Log hier in den Thread.


Für mich:

Zitat

S3 PCD62X2;PCD62X2;\??\c:\dokume~1\RICHAR~1\LOKALE~1\Temp\PCD62X2.sys --> c:\dokume~1\RICHAR~1\LOKALE~1\Temp\PCD62X2.sys [?]
Seitenanfang Seitenende
07.04.2010, 21:06
Member

Themenstarter

Beiträge: 61
#7 Beim Eset Online Scanner sind ein paar "Probleme" aufgetreten. Die Reihenfolge war nicht wie beschrieben. Die Signaturen wurden erst nach dem Anhaken heruntergeladen und "Scan unwanted applications" habe ich auch nicht gesehen. Der Scan war aber schon am laufen, deswegen habe ich es gelassen
Aber jetzt kommt die Meldung, dass die Log-Datein nicht gefunden wurde.
Ich habe das Programm noch nicht deinstalliert.
Seitenanfang Seitenende
07.04.2010, 21:43
Moderator

Beiträge: 5694
#8 Wurde etwas gefunden? Wenn ja weisst Du was?
Schau mal hier sollte es sein:
C:\Programme\EsetOnlineScanner\log.txt

Mache noch Schritt 2.
Seitenanfang Seitenende
07.04.2010, 22:53
Member

Themenstarter

Beiträge: 61
#9 OK, die Log-Datei hab ich gefunden und ESET habe ich gelöscht

Code


ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=528a11276f2eaa428ba92a5ea38a0256
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-04-07 06:55:36
# local_time=2010-04-07 08:55:36 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777175 100 0 42278898 42278898 0 0
# compatibility_mode=8192 67108863 100 0 312 312 0 0
# scanned=51632
# found=4
# cleaned=4
# scan_time=14905
C:\System Volume Information\_restore{A4C7EF89-0ACD-4F49-A126-A03E244C10E3}\RP593\A0192403.dll    Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\System Volume Information\_restore{A4C7EF89-0ACD-4F49-A126-A03E244C10E3}\RP593\A0192405.DLL    Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\System Volume Information\_restore{A4C7EF89-0ACD-4F49-A126-A03E244C10E3}\RP593\A0192409.DLL    a variant of Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\System Volume Information\_restore{A4C7EF89-0ACD-4F49-A126-A03E244C10E3}\RP614\A0201784.dll    a variant of Win32/Adware.Softomate.AE application (cleaned by deleting - quarantined)    00000000000000000000000000000000    C



Jetzt kommt aber bei dem Rootkit eine Fehlermeldung. Wenn ich es starten will, kommt die Meldung: "Diese Anwendung konnte nicht gestartet werden, weil die Anwendungskonfiguration nicht korrekt ist. Zur Problembehandlung sollten Sie die Anwendung neu installieren."
Habe es nochmal neu entpackt, und nochmal neu runtergeladen und entpackt, aber die Meldung bleibt
Seitenanfang Seitenende
07.04.2010, 23:37
Moderator

Beiträge: 5694
#10 Also das gefundene hier ist nichts mehr was von Bedeutung ist. Das sitz nur noch in der Systemwiederhertsllung. Dazu am Schluss dann mehr.
Ich will aber denoch die Meinung von FSecure und BOdefender. Führe noch diese beiden Scans aus:
http://forum.hijackthis.de/allgemeines/25893-kostenlose-online-scanner.html
Seitenanfang Seitenende
08.04.2010, 12:48
Member

Themenstarter

Beiträge: 61
#11

Code


Online Scanner - Scanbericht - Donnerstag, April 8, 2010 04:06:46Scanbericht
Donnerstag, April 8, 2010 00:18:46 - 04:06:46
Name des Computers: GALLAGHER
Scantyp: Scansystem für Malware, Spyware und Rootkits
Ziel: C:\



11 Malware gefunden
TrackingCookie.2o7 (Spyware)
  System (Desinfiziert)
Trojan.FTPGet.A (Spyware)
  System (Desinfiziert)
TrackingCookie.Adtech (Spyware)
  System (Desinfiziert)
TrackingCookie.Zanox (Spyware)
  System (Desinfiziert)
TrackingCookie.Adbrite (Spyware)
  System (Desinfiziert)
TrackingCookie.Webtrends (Spyware)
  System (Desinfiziert)
TrackingCookie.Tradedoubler (Spyware)
  System (Desinfiziert)
TrackingCookie.Statcounter (Spyware)
  System (Desinfiziert)
TrackingCookie.Atwola (Spyware)
  System (Desinfiziert)
TrackingCookie.Yieldmanager (Spyware)
  System (Desinfiziert)
TrackingCookie.Imrworldwide (Spyware)
  System (Desinfiziert)



Statistik
Gescannt:
  Dateien: 30880
  System: 3285
  Nicht gescannt: 6
Aktionen:
  Desinfiziert: 11
  Umbenannt: 0
  Gelöscht: 0
  Nicht bereinigt: 0
  Übermittelt: 0
Nicht gescannte Dateien:
  C:\PAGEFILE.SYS
  C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
  C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
  C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
  C:\WINDOWS\SYSTEM32\CONFIG\SAM
  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM



Optionen
Scan-Engines:
Scanoptionen:
  Festgelegte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS
  JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC
  DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO
  HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI
  AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
  Erweiterte Heuristik verwenden


Bei dem anderen wurden keine Viren gefunden.

Ach, ich hab noch eine Frage. Ich habe ja den Trojaner wahrscheinlich von dem anderen PC habe und wenn ich jetzt CDs oder DVDs einlege, die ich auf dem infizierten PC gebrannt habe, kann sich da der Trojaner wieder bei mir einschleichen? D.h. könnte es sein, dass er auf den gebrannten CDs ist und wenn ich dann was rüberziehe er wieder da ist?
Dieser Beitrag wurde am 08.04.2010 um 13:05 Uhr von Kipcha editiert.
Seitenanfang Seitenende
08.04.2010, 17:01
Moderator

Beiträge: 5694
#12 Wenn sich eine ausführbare Datei auf der CD oder auch eine USB Stick befindet und der Autostart freigegeben ist, dann ist dies gut möglich. Diesbezüglich verwiese ich auch folgende Anleitung:

http://www.hijackthis-forum.de/tipps-tricks/30505-nachsorge.html#post294460

Hast Du denn keine Probleme oder Meldungen mehr?
Seitenanfang Seitenende
08.04.2010, 17:46
Member

Themenstarter

Beiträge: 61
#13 Danke für den Link.

Ich habe jetzt nochmal AntiVir durchlaufen lassen und es kam keine Meldung ;)
Allerdings konnte eine Datei nicht geöffnet werden

Code


Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Seitenanfang Seitenende
08.04.2010, 19:12
Moderator

Beiträge: 5694
#14 Das ist normal ;)

Schritt 1

Tool-Bereinigung mit OTL

* Doppelklick auf OTL.exe, um das Programm auszuführen.
* Klicke auf den Button CleanUp! und bestätige die Cleanup Prozedur mit Yes.
* OTL fragt nach einem Neustart, lasse das bitte zu.

Nach dem Neustart werden OTL selbst und die meisten anderen Helferprogramme, die wir im Laufe der Bereinigung benutzt haben, nicht mehr vorhanden sein. Evtl. nun noch vorhandene Helferprogramme oder Logfiles bitte manuell löschen und den Papierkorb leeren.


Schritt 2

Nachsorge


Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich [url="http://www.[url="http://www.CCleaner.de"]CCleaner[/url].de"][url="http://www.CCleaner.de"]CCleaner[/url][/url], (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
Port-Scan-Test.
WLAN absichern.
Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Freiwillige Spende

Seitenanfang Seitenende
09.04.2010, 12:08
Member

Themenstarter

Beiträge: 61
#15 Vielen vielen Dank
Jetzt ist alles wieder in Ordnung, und ich weiß mich zu schützen ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: