Rootkit ??? PC fährt ungewollt runter

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.08.2010, 14:35
...neu hier

Beiträge: 1
#1 Hallo zusammen !
Brauche dringend Eure Hilfe…
Habe mir irgendwie einen Virus (vermutlich ein (oder mehrere?) Rootkit(s) ) eingefangen.
Verdächtiges Symptom : Beim Anklicken von verdächtig scheinenden (zB sisidex.sys; s.u.), aber auch tendenziell unverdächtigen Dateien oder auch beim Nutzen der Suchfunktion fährt der PC erst runter und fährt dann mit der Warnmeldung „System wird nach schwerwiegendem Fehler ausgeführt.“ wieder hoch.

Dasselbe Phänomen dann bei der Rootkit-Suche mit Avira AntiVir Personal – Free Antivirus. Läuft erst eine Zeit durch, aber sobald er tiefer in den Registry-Bereich eindringt, siehe oben…

Beim Suchlauf mit GMER habe ich dann ein ähnliches Problem. Erst startet das Programm den Quickscan und findet auch (siehe meine logfiles). Starte ich aber über den Funden einen neuen Scan, listet das Programm noch mehr Funde genauer auf. Es kommt aber nicht zu einem abschließenden Logfile, weil der PC dann erneut runter- bzw hochfährt.

Bei Hinweisen bitte berücksichtigen :
Bin kein PC-Profi (sonst wär’ mir der !&%§ wohl auch nicht passiert), bei Erklärungen und vorausgesetztem Hintergrundwissen bitte beachten…

Hier diverse Logfiles zum drüberschauen :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-08-22 17:28:27
Windows 5.1.2600 Service Pack 3
Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

Device \Driver\Tcpip \Device\Ip socketlock.sys
Device \Driver\Tcpip \Device\Tcp socketlock.sys
Device \Driver\Tcpip \Device\Udp socketlock.sys
Device \Driver\Tcpip \Device\RawIp socketlock.sys

---- Threads - GMER 1.0.15 ----

Thread System [4:3716] F284C30C

---- EOF - GMER 1.0.15 ----

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-08-24 17:29:05
Windows 5.1.2600 Service Pack 3
Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)
AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \Driver\Tcpip \Device\Ip socketlock.sys
Device \Driver\Tcpip \Device\Tcp socketlock.sys
Device \Driver\Tcpip \Device\Udp socketlock.sys
Device \Driver\Tcpip \Device\RawIp socketlock.sys

---- EOF - GMER 1.0.15 ----

Die beiden folgenden Logfiles sind unvollständige zwischengespeicherte Logfiles im Deepscan, letzterer kurz vorm Runterfahren...

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-08-26 13:43:47
Windows 5.1.2600 Service Pack 3
Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys


---- System - GMER 1.0.15 ----

SSDT F8D47136 ZwCreateKey
SSDT F8D4712C ZwCreateThread
SSDT F8D4713B ZwDeleteKey
SSDT F8D47145 ZwDeleteValueKey
SSDT F8D4714A ZwLoadKey
SSDT F8D47118 ZwOpenProcess
SSDT F8D4711D ZwOpenThread
SSDT F8D47154 ZwReplaceKey
SSDT F8D4714F ZwRestoreKey
SSDT F8D47140 ZwSetValueKey
SSDT F8D47127 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xF7A85900]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7873340, 0x130AAF, 0xF8000020]
.text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF012380, 0x268511, 0xF8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

Device \Driver\Tcpip \Device\Ip socketlock.sys
Device \Driver\Tcpip \Device\Tcp socketlock.sys
Device \Driver\Tcpip \Device\Udp socketlock.sys
Device \Driver\Tcpip \Device\RawIp socketlock.sys
Device \Driver\Tcpip \Device\IPMULTICAST socketlock.sys

AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-08-26 13:44:41
Windows 5.1.2600 Service Pack 3
Running: 0t92vrc6.exe; Driver: C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\pgldikoc.sys


---- System - GMER 1.0.15 ----

SSDT F8D47136 ZwCreateKey
SSDT F8D4712C ZwCreateThread
SSDT F8D4713B ZwDeleteKey
SSDT F8D47145 ZwDeleteValueKey
SSDT F8D4714A ZwLoadKey
SSDT F8D47118 ZwOpenProcess
SSDT F8D4711D ZwOpenThread
SSDT F8D47154 ZwReplaceKey
SSDT F8D4714F ZwRestoreKey
SSDT F8D47140 ZwSetValueKey
SSDT F8D47127 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init C:\WINDOWS\system32\drivers\senfilt.sys entry point in "init" section [0xF7A85900]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7873340, 0x130AAF, 0xF8000020]
.text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF012380, 0x268511, 0xF8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

Device \Driver\Tcpip \Device\Ip socketlock.sys
Device \Driver\Tcpip \Device\Tcp socketlock.sys
Device \Driver\Tcpip \Device\Udp socketlock.sys
Device \Driver\Tcpip \Device\RawIp socketlock.sys
Device \Driver\Tcpip \Device\IPMULTICAST socketlock.sys

AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

---- Registry - GMER 1.0.15 ----

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@BarID 59416
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@XPos -2
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@YPos -2
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@Docking 1
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockLeftPos 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockTopPos 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockRightPos 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUDockBottomPos 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatStyle 8192
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatXPos -2147483648
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Gene2al-Bar4Øô@MRUFloatYPos 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\View@Show\20humbnain 1


Norman TDSS Cleaner
Version 1.9.3
Copyright © 1990 - 2010, Norman ASA. Built 2010/05/25 11:56:03

Norman Scanner Engine Version: 6.04.08
Nvcbin.def Version: 6.04.00, Date: 2010/05/25 11:56:03, Variants: 57644

Scan started: 2010/08/24 14:57:00

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3
Logged on user: COMPUTERNAME\Mein_Name


Running anti-TDSS module:

No TDSS infection detected

TDSS scan complete. Will now scan for related malware

Scanning bootsectors...

Number of sectors found: 2
Number of sectors scanned: 2
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 50ms


Scanning running processes and process memory...

Number of processes/threads found: 3111
Number of processes/threads scanned: 3111
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 45s


Scanning file system...

Scanning: prescan

Scanning: C:\WINDOWS\system32\drivers\*

C:\WINDOWS\system32\drivers\xofjweogvvlv.sys (Infected with W32/Rootkit.AMIO)
Failed to remove driver: xofjweogvvlv
Deleted file

Running post-scan cleanup routine:

Number of files found: 243263
Number of archives unpacked: 1629
Number of files scanned: 243236
Number of files not scanned: 27
Number of files skipped due to exclude list: 0
Number of infected files found: 1
Number of infected files repaired/deleted: 1
Number of infections removed: 1
Total scanning time: 1h 39m 9s

ComboFix 10-08-23.02 – Mein_Name 24.08.2010 16:44:23.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\ Mein_Name \Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_$SYS$ARIES
-------\Legacy_$SYS$DRMSERVER
-------\Legacy_CD_PROXY


((((((((((((((((((((((( Dateien erstellt von 2010-07-24 bis 2010-08-24 ))))))))))))))))))))))))))))))
.

2010-08-22 16:45 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-08-22 16:43 . 2010-08-22 16:43 -------- d-----w- c:\programme\Panda Security
2010-08-22 15:03 . 2007-07-06 22:39 19248 ----a-w- c:\windows\system32\drivers\rspsc32.sys
2010-08-22 15:03 . 2010-08-22 15:03 -------- d-----w- c:\programme\RootKit Hook Analyzer
2010-07-31 16:04 . 2010-07-31 16:04 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-24 14:58 . 2008-06-26 14:44 -------- d-----w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\OpenOffice.org2
2010-08-24 10:49 . 2007-05-23 19:23 50398 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\wklnhst.dat
2010-08-23 13:01 . 2006-04-21 11:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-22 17:30 . 2010-05-17 18:00 -------- d-----w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\vlc
2010-08-22 12:50 . 2010-03-28 16:52 -------- d-----w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\foobar2000
2010-08-14 21:13 . 2010-08-14 21:13 503808 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\msvcp71.dll
2010-08-14 21:13 . 2010-08-14 21:13 12800 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-232f26a1-n\decora-d3d.dll
2010-08-14 21:13 . 2010-08-14 21:13 61440 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-232f26a1-n\decora-sse.dll
2010-08-14 21:13 . 2010-08-14 21:13 499712 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\jmc.dll
2010-08-14 21:13 . 2010-08-14 21:13 348160 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5a26bfca-n\msvcr71.dll
2010-08-14 21:13 . 2007-12-06 07:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-08-14 21:12 . 2007-12-06 08:25 -------- d-----w- c:\programme\Java
2010-07-22 13:28 . 2006-12-08 19:49 -------- d-----w- c:\programme\Google
2010-07-17 03:00 . 2010-04-16 14:13 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-07-01 16:09 . 2010-06-09 15:04 -------- d-----w- c:\programme\DVDVideoSoftTB
2010-06-09 15:04 . 2010-06-09 15:04 52224 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
2010-06-09 15:04 . 2010-06-09 15:04 101376 ----a-w- c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
2007-07-17 08:03 . 2007-07-17 08:03 1057656 ----a-w- c:\programme\dBpoweramp-Codec-m4a.exe
2007-07-17 07:59 . 2007-07-17 07:59 4215160 ----a-w- c:\programme\dMC-r12[1].2.exe
2004-08-17 16:16 . 2007-05-23 19:09 11322768 ------w- c:\programme\RealPlayer10GOLD_de.exe
2002-09-29 12:53 . 2005-01-03 18:19 1799685 ------w- c:\programme\QuickVCD.exe
2007-01-09 17:56 . 2007-01-09 17:56 8 --sh--r- c:\windows\system32\270A9C62DD.sys
2007-01-09 17:56 . 2007-01-09 17:56 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-07-16 17:40 2736736 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-07-16 2736736]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\programme\Ahead\Nero BackItUp\nbj.exe" [2004-09-24 1916928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-02-27 3022848]
"nwiz"="nwiz.exe" [2004-10-29 921600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-02-27 49152]
"WinampAgent"="c:\programme\Winamp2.9_Deutsch\Winampa.exe" [2003-04-17 12288]
"FLMOFFICE4DMOUSE"="c:\programme\Labtec\Desktop\V5.1\moffice.exe" [2006-12-24 958464]
"OFFICEKB"="c:\programme\Labtec\Desktop\V5.1\kbdap32a.exe" [2006-12-24 387584]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2004-09-13 1450096]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-08-03 98304]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Lexmark 2200 Series"="c:\programme\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

c:\dokumente und einstellungen\ Mein_Name \Startmen\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SoulseekNS\\slsk.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [22.08.2010 18:45 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.07.2009 13:35 108289]
R2 SocketLock;Raw Socket Lock Driver;c:\windows\system32\socketlock.sys [03.01.2005 20:40 3712]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [22.07.2010 15:20 136176]
S3 00f3b19d-b092-4bec-93e7-dd8faa798eac;00f3b19d-b092-4bec-93e7-dd8faa798eac;\??\e:\player\cds300.dll --> e:\player\cds300.dll [?]
S3 1a5B;1a5B;\??\c:\windows\system32\1a5B.sys --> c:\windows\system32\1a5B.sys [?]
S3 2625;2625;\??\c:\windows\system32\2625.sys --> c:\windows\system32\2625.sys [?]
S3 5be8;5be8;\??\c:\windows\system32\5be8.sys --> c:\windows\system32\5be8.sys [?]
S3 8aeA;8aeA;\??\c:\windows\system32\8aeA.sys --> c:\windows\system32\8aeA.sys [?]
S3 a546;a546;\??\c:\windows\system32\a546.sys --> c:\windows\system32\a546.sys [?]
S3 bbe9;bbe9;\??\c:\windows\system32\bbe9.sys --> c:\windows\system32\bbe9.sys [?]
S3 d194;d194;\??\c:\windows\system32\d194.sys --> c:\windows\system32\d194.sys [?]
S3 drhard;DRHARD;c:\windows\system32\drivers\drhard.sys [17.05.2010 19:37 23600]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.06.2007 00:44 1527900]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [11.04.2010 22:55 38224]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\5.tmp --> c:\windows\system32\5.tmp [?]
S3 RSPSC;RSPSC;c:\windows\system32\drivers\rspsc.sys [26.05.2007 00:21 9472]
S3 S6U12BScanner;MUSTEK 1200 UB Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [02.01.2005 20:05 15104]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [17.06.2007 00:43 544768]
S3 WJB;WJB;c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe --> c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe [?]
S4 BVOUMSUD;BVOUMSUD;c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe --> c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe [?]
S4 KCQO;KCQO;c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\KCQO.exe --> c:\dokume~1\ Mein_Name ~1\LOKALE~1\Temp\KCQO.exe [?]
.
Inhalt des "geplante Tasks" Ordners

2010-08-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-22 13:20]

2010-08-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-22 13:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.sport1.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\
FF - component: c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKU-Default-Run-Symantec NetDriver Warning - c:\progra~1\SYMNET~1\SNDWarn.exe
AddRemove-Audacity_is1 - c:\programme\Audacity\unins000.exe
AddRemove-HijackThis - c:\dokumente und einstellungen\ Mein_Name \Eigene Dateien\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-24 16:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\5.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2052111302-1343024091-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-2052111302-1343024091-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\Bags\303\Shel-**]
"Rev"=dword:00000000
"ColI+fo"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,00,ff,df,df,fd,0f,
00,04,00,21,00,10,00,28,00,3c,00,00,00,00,00,01,00,00,00,03,00,00,00,03,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3496)
c:\programme\Labtec\Desktop\V5.1\MOUDL32A.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Ahead\InCD\InCDsrv.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\Labtec\Desktop\V5.1\MOUSE32A.EXE
c:\programme\Lexmark 2200 Series\lxbvbmon.exe
c:\programme\OpenOffice.org 2.2\program\soffice.exe
c:\programme\OpenOffice.org 2.2\program\soffice.BIN
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-24 17:06:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-08-24 15:06

Vor Suchlauf: 213.549.056 Bytes frei
Nach Suchlauf: 321.200.128 Bytes frei

- - End Of File - - 40832EED506C30AA9CA55CC8D4C4A266


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:51:47, on 23.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp2.9_Deutsch\Winampa.exe
C:\Programme\Labtec\Desktop\V5.1\moffice.exe
C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Labtec\Desktop\V5.1\MOUSE32A.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Mein_Name\Eigene Dateien\Weissnix.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sport1.de/
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp2.9_Deutsch\Winampa.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKUS\S-1-5-18\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 6955 bytes


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:51, on 24.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Mein_Name\Eigene Dateien\Weissnix.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sport1.de/
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp2.9_Deutsch\Winampa.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKUS\S-1-5-18\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: WJB - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe

--
End of file - 6113 bytes

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:52, on 24.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp2.9_Deutsch\Winampa.exe
C:\Programme\Labtec\Desktop\V5.1\moffice.exe
C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Labtec\Desktop\V5.1\MOUSE32A.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\Dokumente und Einstellungen\Mein_Name\Eigene Dateien\Weissnix.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sport1.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp2.9_Deutsch\Winampa.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: WJB - Unknown owner - C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe (file missing)

--
End of file - 7098 bytes

Rootkit Hook Analyzer : findet nix
Avira AntiVir Personal (auch zB im Komplettdurchlauf oder im abgesicherten Modus) : findet nix
F-Secure BlackLight : findet nix
McAfee Stinger : findet nix
McAfee Rootkit Detective : hatte einen Fund in : C:\System Volume Information\catalog.wci (keine Ahnung, ob das wirklich etwas Bedrohliches ist…)
Malwarebytes Anti Malware : findet nix
Spybot Search & Destroy : findet nix

Danke für die Mühe !


Nachtrag :

OTL-CustomScan :

OTL logfile created on: 26.08.2010 16:07:11 - Run 1
OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\Mein_Name\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 333,00 Mb Available Physical Memory | 65,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 76,32 Gb Total Space | 0,04 Gb Free Space | 0,06% Space Free | Partition Type: NTFS
Drive D: | 14,32 Gb Total Space | 0,01 Gb Free Space | 0,06% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: COMPUTERNAME
Current User Name: Mein_Name
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2010.08.26 15:34:36 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\OTL.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.08.05 20:56:10 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.03.21 22:06:52 | 002,510,848 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.bin
PRC - [2007.03.21 22:06:50 | 002,359,296 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 2.2\program\soffice.exe
PRC - [2006.12.25 00:41:27 | 000,958,464 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\MOffice.exe
PRC - [2006.12.25 00:41:27 | 000,387,584 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\KBDAP32A.EXE
PRC - [2006.12.25 00:41:27 | 000,356,352 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\mouse32a.exe
PRC - [2004.09.13 12:49:42 | 001,192,050 | ---- | M] (Ahead Software AG) -- C:\Programme\Ahead\InCD\InCDsrv.exe
PRC - [2004.09.13 11:51:05 | 001,450,096 | ---- | M] (Ahead Software AG) -- C:\Programme\Ahead\InCD\InCD.exe
PRC - [2004.02.13 09:37:00 | 000,094,208 | ---- | M] (Jetsoft Development Company) -- C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
PRC - [2004.02.13 09:15:00 | 000,057,344 | ---- | M] (Lexmark International, Inc.) -- C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
PRC - [2003.04.17 08:54:16 | 000,012,288 | ---- | M] () -- C:\Programme\Winamp2.9_Deutsch\winampa.exe


========== Modules (SafeList) ==========

MOD - [2010.08.26 15:34:36 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\OTL.exe
MOD - [2008.04.14 08:51:08 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
MOD - [2006.12.25 00:41:27 | 000,057,344 | ---- | M] () -- C:\Programme\Labtec\Desktop\V5.1\mouDL32A.dll


========== Win32 Services (SafeList) ==========

SRV - File not found [On_Demand | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe -- (WJB)
SRV - File not found [Disabled | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\KCQO.exe -- (KCQO)
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [Disabled | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe -- (BVOUMSUD)
SRV - [2009.08.05 20:56:10 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2006.12.14 16:00:00 | 000,544,768 | ---- | M] (Magix AG) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- (UPnPService)
SRV - [2005.11.17 14:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2004.09.13 12:49:42 | 001,192,050 | ---- | M] (Ahead Software AG) [Auto | Stopped] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrvR) InCD Helper (read only)
SRV - [2004.09.13 12:49:42 | 001,192,050 | ---- | M] (Ahead Software AG) [Auto | Running] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrv)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\5.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\d194.sys -- (d194)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\bbe9.sys -- (bbe9)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\a546.sys -- (a546)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\8aeA.sys -- (8aeA)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\5be8.sys -- (5be8)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\2625.sys -- (2625)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\1a5B.sys -- (1a5B)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Player\cds300.dll -- (00f3b19d-b092-4bec-93e7-dd8faa798eac)
DRV - [2010.05.17 19:04:08 | 000,223,440 | ---- | M] (TrueCrypt Foundation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\truecrypt.sys -- (truecrypt)
DRV - [2010.03.18 11:17:09 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.06.30 09:37:16 | 000,028,552 | ---- | M] (Panda Security, S.L.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\pavboot.sys -- (pavboot)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2007.01.31 15:33:46 | 000,005,632 | ---- | M] (GRISOFT, s.r.o.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\avgarkt.sys -- (AVG Anti-Rootkit)
DRV - [2007.01.21 17:42:52 | 000,009,472 | ---- | M] (Resplendence Software Projects Sp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rspsc.sys -- (RSPSC)
DRV - [2007.01.18 14:00:28 | 000,003,968 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AvgArCln.sys -- (AvgArCln)
DRV - [2005.12.01 11:49:22 | 000,023,600 | ---- | M] (Licensed for Gebhard Software) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\drhard.sys -- (drhard)
DRV - [2005.03.01 06:01:40 | 000,392,704 | R--- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (senfilt)
DRV - [2005.02.18 03:49:44 | 000,124,160 | R--- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SiSGbeXP.sys -- (SiSGbeXP)
DRV - [2005.01.03 20:40:29 | 000,003,712 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\socketlock.sys -- (SocketLock)
DRV - [2004.09.13 12:54:46 | 000,028,672 | ---- | M] (Ahead Software AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDpass.sys -- (InCDPass)
DRV - [2004.09.13 12:54:06 | 000,093,440 | ---- | M] (Ahead Software AG) [File_System | Disabled | Running] -- C:\WINDOWS\System32\drivers\InCDfs.sys -- (InCDfs)
DRV - [2004.09.13 11:54:54 | 000,027,648 | ---- | M] (Ahead Software AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\InCDrm.sys -- (incdrm)
DRV - [2004.02.27 06:34:56 | 001,619,403 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2003.07.18 03:58:20 | 000,036,992 | R--- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\SISAGPX.sys -- (SISAGP)
DRV - [2002.08.20 11:19:08 | 000,009,472 | R--- | M] (Silicon Integrated Systems Corp.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sisperf.sys -- (sisperf)
DRV - [2002.07.30 10:46:28 | 000,005,760 | R--- | M] (Silicon Integrated Systems Corp.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\siside.sys -- (SiSide)
DRV - [2002.07.10 17:39:34 | 000,032,256 | R--- | M] (SiS Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC)
DRV - [2002.05.28 10:21:10 | 000,048,896 | R--- | M] (Windows (R) 2000 DDK provider) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\sisidex.sys -- (sisidex)
DRV - [2001.08.17 14:57:38 | 000,016,128 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\modemcsa.sys -- (MODEMCSA)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Sport1.de | Sport | News | Ergebnisse | Live Ticker | Tabelle | Bundesliga | Startseite | Sport1.de
IE - HKCU\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.29 23:39:58 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.04 20:44:56 | 000,000,000 | ---D | M]

[2008.12.16 14:16:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Extensions
[2010.08.26 14:39:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions
[2010.06.09 17:04:47 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\Mozilla\Firefox\Profiles\bu1uw8rn.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2010.08.26 14:39:42 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.04.16 16:13:51 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.08.14 23:12:17 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll

O1 HOSTS File: ([2010.08.24 16:55:47 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\tbDVD1.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\MOffice.exe ()
O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Ahead Software AG)
O4 - HKLM..\Run: [Lexmark 2200 Series] C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe (Lexmark International, Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\KBDAP32A.EXE ()
O4 - HKLM..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe (Silicon Integrated Systems Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp2.9_Deutsch\Winampa.exe ()
O4 - HKCU..\Run: [NBJ] C:\Programme\Ahead\Nero BackItUp\nbj.exe (Ahead Software AG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\ Mein_Name \Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (VisualWare)
O9 - Extra 'Tools' menuitem : VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (VisualWare)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.12.24 12:16:46 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2004.03.28 13:41:20 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 90 Days ==========

[2010.08.26 16:06:33 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\ Mein_Name \Recent
[2010.08.26 15:34:36 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\OTL.exe
[2010.08.24 21:22:15 | 000,000,000 | ---D | C] -- C:\Avenger
[2010.08.24 19:21:57 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010.08.24 17:12:13 | 000,007,680 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\RKL7.tmp.sys
[2010.08.24 13:09:53 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.08.24 13:09:53 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.08.24 13:09:53 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010.08.24 13:09:53 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.08.24 13:09:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010.08.24 13:09:08 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.08.24 12:44:18 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2010.08.24 11:24:04 | 000,812,344 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\HJTInstall.exe
[2010.08.24 11:11:24 | 002,661,704 | ---- | C] (Norman ASA) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\Norman_TDSS_Cleaner.exe
[2010.08.22 18:45:10 | 000,028,552 | ---- | C] (Panda Security, S.L.) -- C:\WINDOWS\System32\drivers\pavboot.sys
[2010.08.22 18:43:50 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security
[2010.08.22 17:03:26 | 000,019,248 | ---- | C] (Resplendence Software Projects Sp.) -- C:\WINDOWS\System32\drivers\rspsc32.sys
[2010.08.22 17:03:25 | 000,000,000 | ---D | C] -- C:\Programme\RootKit Hook Analyzer
[2010.07.31 18:04:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Help
[2010.07.31 18:04:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Help
[2010.07.22 15:26:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.07.22 15:21:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\Temp
[2010.07.22 15:21:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.06.09 17:04:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
[2010.06.09 17:04:50 | 000,000,000 | ---D | C] -- C:\Programme\Conduit
[2010.06.09 17:04:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\Conduit
[2010.06.09 17:04:49 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoftTB
[2010.06.09 16:49:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\DVDVideoSoft
[2010.06.09 16:49:37 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
[2010.06.09 16:49:37 | 000,000,000 | ---D | C] -- C:\Programme\DVDVideoSoft
[2007.05.23 21:09:44 | 011,322,768 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\RealPlayer10GOLD_de.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 90 Days ==========

[2010.08.26 15:46:24 | 019,136,512 | -H-- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \NTUSER.DAT
[2010.08.26 15:41:05 | 000,000,888 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.08.26 15:41:00 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.26 15:40:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.26 15:40:57 | 536,203,264 | -HS- | M] () -- C:\hiberfil.sys
[2010.08.26 15:36:57 | 000,080,384 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\MBRCheck.exe
[2010.08.26 15:35:24 | 000,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\Microsoft Word.lnk
[2010.08.26 15:34:36 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\OTL.exe
[2010.08.26 15:26:05 | 000,000,892 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.08.26 14:59:38 | 000,050,426 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\wklnhst.dat
[2010.08.26 13:30:18 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.24 22:01:15 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \ntuser.ini
[2010.08.24 21:42:23 | 000,000,147 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2010.08.24 21:08:07 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\avenger.exe
[2010.08.24 21:05:41 | 000,077,312 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\mbr.exe
[2010.08.24 17:12:13 | 000,007,680 | ---- | M] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\RKL7.tmp.sys
[2010.08.24 16:57:27 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.08.24 16:55:47 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.08.24 12:49:51 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\GMER2.doc
[2010.08.24 11:41:53 | 000,231,390 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\RootkitRevealer.zip
[2010.08.24 11:38:58 | 003,826,032 | R--- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\ComboFix.exe
[2010.08.24 11:24:09 | 000,812,344 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\HJTInstall.exe
[2010.08.24 11:11:51 | 002,661,704 | ---- | M] (Norman ASA) -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\Norman_TDSS_Cleaner.exe
[2010.08.23 18:36:41 | 000,000,815 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AVG Anti-Rootkit Free.lnk
[2010.08.14 21:20:12 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.07.31 18:37:23 | 000,000,394 | ---- | M] () -- C:\WINDOWS\lexstat.ini
[2010.07.30 23:32:36 | 000,000,097 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \default.pls
[2010.07.22 15:29:58 | 000,001,894 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.07.01 19:30:50 | 000,001,716 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.06.18 19:22:06 | 000,052,736 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.06.10 00:10:02 | 000,044,032 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\MADNESS.doc
[2010.06.06 23:24:31 | 000,129,024 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\Abfahrt.doc
[2010.05.31 20:00:41 | 000,008,253 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \ Mein_Name.elfo
[2010.05.31 19:58:34 | 000,010,231 | ---- | M] () -- C:\Dokumente und Einstellungen\ Mein_Name \Mein_Name.pfx
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.08.26 15:36:56 | 000,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\MBRCheck.exe
[2010.08.24 21:08:07 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\avenger.exe
[2010.08.24 21:05:41 | 000,077,312 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\mbr.exe
[2010.08.24 14:53:09 | 536,203,264 | -HS- | C] () -- C:\hiberfil.sys
[2010.08.24 13:09:53 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.08.24 13:09:53 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.08.24 13:09:53 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.08.24 13:09:53 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.08.24 13:09:53 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.08.24 12:49:50 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\GMER2.doc
[2010.08.24 11:41:45 | 000,231,390 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\RootkitRevealer.zip
[2010.08.24 11:38:56 | 003,826,032 | R--- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Desktop\ComboFix.exe
[2010.07.22 15:29:58 | 000,001,894 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2010.07.22 15:21:05 | 000,000,892 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.07.22 15:21:04 | 000,000,888 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.06.09 20:08:17 | 000,044,032 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\MADNESS.doc
[2010.06.06 23:22:33 | 000,129,024 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Eigene Dateien\Abfahrt.doc
[2010.05.31 19:58:09 | 000,010,231 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \ Mein_Name.pfx
[2010.05.31 19:03:24 | 000,008,253 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \ Mein_Name.elfo
[2010.05.17 19:33:06 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010.05.17 19:21:13 | 000,419,280 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.03.29 22:37:18 | 000,000,394 | ---- | C] () -- C:\WINDOWS\lexstat.ini
[2010.03.29 22:36:50 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbvvs.dll
[2010.03.29 22:36:20 | 000,000,187 | ---- | C] () -- C:\WINDOWS\System32\lxbvcoin.ini
[2007.12.05 21:33:04 | 000,000,250 | ---- | C] () -- C:\WINDOWS\gmer.ini
[2007.12.05 21:33:03 | 000,585,791 | ---- | C] () -- C:\WINDOWS\gmer.dll
[2007.07.17 10:03:41 | 001,057,656 | ---- | C] () -- C:\Programme\dBpoweramp-Codec-m4a.exe
[2007.07.17 09:59:52 | 004,215,160 | ---- | C] () -- C:\Programme\dMC-r12[1].2.exe
[2007.06.17 01:09:46 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\AVSDVDPlayer.m3u
[2007.06.17 00:41:29 | 000,006,642 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2007.06.16 23:43:15 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2007.06.16 23:43:15 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2007.05.23 21:23:55 | 000,050,426 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\wklnhst.dat
[2007.05.01 15:23:39 | 000,003,051 | ---- | C] () -- C:\WINDOWS\tm.ini
[2007.04.23 02:15:29 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2007.03.03 14:32:04 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.02.24 22:05:42 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2007.01.11 14:45:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PhotoNow.INI
[2007.01.09 19:56:42 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\270A9C62DD.sys
[2007.01.09 19:56:07 | 000,004,704 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2006.10.30 15:01:04 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2006.04.28 08:54:00 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2005.12.16 15:30:24 | 000,002,733 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2005.08.03 14:30:19 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2005.06.19 18:59:33 | 000,052,736 | ---- | C] () -- C:\Dokumente und Einstellungen\ Mein_Name \Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.03.19 16:38:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Ui.INI
[2005.03.08 11:52:18 | 000,000,089 | ---- | C] () -- C:\WINDOWS\snapshot.ini
[2005.03.07 11:38:09 | 000,000,782 | ---- | C] () -- C:\WINDOWS\dwk3.ini
[2005.03.07 11:17:44 | 000,000,051 | ---- | C] () -- C:\WINDOWS\pgmagic2.ini
[2005.03.07 11:16:49 | 000,000,412 | ---- | C] () -- C:\WINDOWS\gstutils.ini
[2005.03.07 11:16:49 | 000,000,389 | ---- | C] () -- C:\WINDOWS\gstbrows.ini
[2005.03.07 11:16:34 | 000,007,711 | ---- | C] () -- C:\WINDOWS\coldraw.ini
[2005.03.07 11:16:33 | 000,029,536 | ---- | C] () -- C:\WINDOWS\dib.drv
[2005.03.07 11:16:33 | 000,011,424 | ---- | C] () -- C:\WINDOWS\dwk2comp.dll
[2005.03.07 11:16:33 | 000,004,772 | ---- | C] () -- C:\WINDOWS\gstfonts.ini
[2005.03.07 11:16:33 | 000,003,612 | ---- | C] () -- C:\WINDOWS\fntalias.ini
[2005.03.07 11:12:00 | 000,000,046 | RH-- | C] () -- C:\WINDOWS\PAWSETUP.INI
[2005.03.07 11:11:55 | 000,000,473 | ---- | C] () -- C:\WINDOWS\PAW.INI
[2005.02.20 21:10:00 | 000,028,672 | R--- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2005.02.20 21:09:41 | 000,132,864 | R--- | C] () -- C:\WINDOWS\Cmuda.ini
[2005.01.05 19:41:01 | 000,004,103 | ---- | C] () -- C:\WINDOWS\DBCDLFMT.INI
[2005.01.05 19:40:00 | 000,004,139 | ---- | C] () -- C:\WINDOWS\DBROUTE.INI
[2005.01.03 20:40:29 | 000,003,712 | ---- | C] () -- C:\WINDOWS\System32\socketlock.sys
[2005.01.03 20:19:02 | 001,799,685 | ---- | C] () -- C:\Programme\QuickVCD.exe
[2005.01.03 20:11:53 | 000,000,147 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2005.01.02 20:05:03 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\12kUBusd.dll
[2004.12.24 12:42:33 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2004.12.24 12:31:08 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2004.12.24 12:31:08 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2004.12.24 12:31:07 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini
[2004.12.24 12:31:05 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll
[2004.12.24 12:29:35 | 000,139,264 | R--- | C] () -- C:\WINDOWS\System32\IDEproperty.dll
[2004.12.24 12:28:08 | 000,032,768 | ---- | C] () -- C:\WINDOWS\SIS_LIB.DLL
[2004.12.24 12:28:07 | 000,003,072 | R--- | C] () -- C:\WINDOWS\winio.sys
[2004.09.28 23:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2002.03.21 16:39:02 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\UNACEV2.DLL
[2002.03.21 14:51:52 | 000,503,808 | R--- | C] () -- C:\WINDOWS\System32\lt_xtrans.dll
[2002.03.21 14:51:52 | 000,286,720 | R--- | C] () -- C:\WINDOWS\System32\MrSIDD.dll
[2002.03.21 14:51:52 | 000,163,840 | R--- | C] () -- C:\WINDOWS\System32\lt_common.dll
[2002.03.21 14:51:52 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lt_trans.dll
[2002.03.21 14:51:52 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\lt_meta.dll
[2002.03.21 14:51:52 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\lt_encrypt.dll
[2002.03.21 14:51:52 | 000,020,480 | R--- | C] () -- C:\WINDOWS\System32\lt_messagetext.dll
[2002.03.20 23:01:06 | 000,006,688 | R--- | C] () -- C:\WINDOWS\System32\Digita.sys
[2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportUSB.dll
[2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportSerial.dll
[2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrDA.dll
[2002.03.20 23:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrCOMM.dll

========== LOP Check ==========

[2004.12.24 12:40:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2010.03.23 19:44:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2007.06.17 00:44:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2008.03.03 18:17:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2010.05.18 15:53:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Soulseek
[2010.05.17 19:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrueCrypt
[2004.12.24 12:44:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\ACD Systems
[2010.03.23 19:46:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\elsterformular
[2010.08.22 14:50:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\foobar2000
[2007.06.17 01:02:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\gtopala
[2007.06.18 12:23:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ Mein_Name \Anwendungsdaten\ScreenSeven

========== Purity Check ==========



========== Alternate Data Streams ==========

@Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\MFCUIA32.DLL: SummaryInformation
< End of report >

OTL Extras logfile created on: 26.08.2010 16:07:11 - Run 1
OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\ Mein_Name \Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 333,00 Mb Available Physical Memory | 65,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 76,32 Gb Total Space | 0,04 Gb Free Space | 0,06% Space Free | Partition Type: NTFS
Drive D: | 14,32 Gb Total Space | 0,01 Gb Free Space | 0,06% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: COMPUTERNAME
Current User Name: Mein_Name
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet;)isabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet;)isabled:@xpsp2res.dll,-22008

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*;)isabled:iTunes -- (Apple Computer, Inc.)
"C:\Programme\Soulseek\slsk.exe" = C:\Programme\Soulseek\slsk.exe:*:Enabled:SoulSeek -- ()
"C:\WINDOWS\system32\java.exe" = C:\WINDOWS\system32\java.exe:*;)isabled:Java(TM) 2 Platform Standard Edition binary -- (Sun Microsystems, Inc.)
"C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe" = C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe:LocalSubNet:Enabled:Magix UPnP Service -- (Magix AG)
"C:\Programme\SoulseekNS\slsk.exe" = C:\Programme\SoulseekNS\slsk.exe:*:Enabled:SoulSeek -- ()
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{053B3DA8-91B5-4682-A130-715412A1A252}" = Paint.NET v3.5.4
"{05440044-64A6-4248-A026-9745C1E9E159}" = Microsoft Encarta Enzyklopädie 2005
"{0A22567E-86DA-4C7A-B4A4-4FFE32521D98}_is1" = TOPP Vorlagen-Druckstudio (3529)
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 21
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3F262ADC-5AD2-48E5-A586-44315E04A9E2}" = Microsoft Picture It!-Bibliothek 10
"{42756145-9997-4D28-809B-8756BFD00106}" = Microsoft Picture It! Foto Premium 10
"{47808F78-F178-49DC-B708-15FE538B16FF}" = iTunes
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5058B085-AA79-41E5-A726-681B4C4B846E}" = ACDSee 5.0 PowerPack
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{67E4EE98-59F4-4220-89A6-A20AF5BEC689}" = Microsoft AutoRoute 2005
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7B63B2922B174135AFC0E1377DD81EC2}" =
"{89B078C4-50B0-453E-BF53-3A7E6A0D85FA}" = Windows Support Tools
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9F7FC79B-3059-4264-9450-39EB368E3225}" = Microsoft Digital Image Library 9 - Blocker
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C2D129C0-7508-11DF-9F1B-005056806466}" = Google Earth
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C438DF2B-C5DF-4783-9CA5-9B89E501FA62}" = Works Update
"{C6A12D9B-D86A-4ee6-B980-95E4B26A2E13}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E7DA9B23-5715-45D8-965E-E76688A2B948}" = OpenOffice.org 2.2
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F69FD33C-8815-46BF-9134-A643DE68F3C0}" = WinFast(R) Display Driver
"7-Zip" = 7-Zip 4.65
"ActiveScan 2.0" = Panda ActiveScan 2.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Audiograbber" = Audiograbber 1.83 SE
"Audiograbber Lame PlugIn" = Audiograbber Lame PlugIn 3.96 APS
"AVGantiRootkit" = AVG Anti-Rootkit Free
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVS DVD Player_is1" = AVS DVD Player version 2.4
"CCleaner" = CCleaner
"C-Media Audio" = C-Media 3D Audio
"C-Media Audio Driver" = C-Media WDM Audio Driver
"DATA BECKER - CD-Druckerei" = DATA BECKER - CD-Druckerei
"dBpoweramp m4a Codec" = dBpoweramp m4a Codec
"dBpoweramp Music Converter" = dBpoweramp Music Converter
"Der große Routenplaner" = Der große Routenplaner
"Dr. Hardware 2010_is1" = Dr. Hardware 2010 10.2d
"DSGPlayer" = DEUTSCHLAND SPIELT GAME CENTER
"DVDVideoSoftTB Toolbar" = DVDVideoSoftTB Toolbar
"ElsterFormular 11.2.0.4074" = ElsterFormular
"Firebird SQL Server D" = Firebird SQL Server - MAGIX Edition 2.0.0.1 (D)
"FLAC" = FLAC 1.2.1b (remove only)
"foobar2000" = foobar2000 v1.0.1
"Free DVD MP3 Ripper_is1" = Free DVD MP3 Ripper 1.12
"Free Video to Mp3 Converter_is1" = Free Video to Mp3 Converter version 2.3
"GPL Ghostscript 8.56" = GPL Ghostscript 8.56
"GPL Ghostscript Fonts" = GPL Ghostscript Fonts
"HijackThis" = HijackThis 2.0.2
"HookAnalyzer_is1" = RootKit Hook Analyzer 3.02
"Hühner-Rache (VOLLVERSION)" = Hühner-Rache (VOLLVERSION)
"InstallShield_{47808F78-F178-49DC-B708-15FE538B16FF}" = iTunes
"Labtec Desktop V5.1" = Labtec Desktop V5.1
"Lexmark 2200 Series" = Lexmark 2200 Series
"MAGIX Music Manager 2007 D" = MAGIX Music Manager 2007 8.1.1.108 (D)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Mp3tag" = Mp3tag v2.38
"Mustek 1200 UB v2.0a" = Mustek 1200 UB v2.0a
"MUSTEK 1200 UB v2.1" = MUSTEK 1200 UB v2.1
"NeroMultiInstaller!UninstallKey" = Nero Suite
"PictureItPrem_v10" = Microsoft Picture It! Foto Premium 10
"QuickTime" = QuickTime
"RealAlt_is1" = Real Alternative 1.7.5
"RootKit Hook Analyzer_is1" = RootKit Hook Analyzer 3.00
"Scribus 1.3.3" = Scribus 1.3.3.9
"Security Task Manager" = Security Task Manager 1.7d
"Shock Desktop 3D v0.5" = Shock Desktop 3D v0.5
"Shockwave" = Shockwave
"SiSLan" = SiS 900 PCI Fast Ethernet Adapter Driver
"Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.5.4
"Soulseek" = SoulSeek Client 156c
"Soulseek2" = SoulSeek 157 NS 13e
"SpeedFan" = SpeedFan (remove only)
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.5.2.20
"ST6UNST #1" = QuickVCD Player v3.0
"TrueCrypt" = TrueCrypt
"VisualRoute" = VisualRoute
"VLC media player" = VLC media player 1.0.5
"Winamp" = Winamp (nur entfernen)
"Winamp 5.02 Deutsche Sprachdatei v14" = Deutsche Sprachdatei für Winamp 5.02 v14
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"Works2005Setup" = Setup-Start von Microsoft Works 2005
"xp-AntiSpy" = xp-AntiSpy 3.94-2
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 23.08.2010 08:26:08 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =

Error - 23.08.2010 09:26:09 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =

Error - 23.08.2010 10:26:05 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =

Error - 23.08.2010 16:26:10 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =

Error - 23.08.2010 17:26:11 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =

Error - 23.08.2010 18:26:19 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =

Error - 24.08.2010 10:26:07 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =

Error - 24.08.2010 11:26:20 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =

Error - 24.08.2010 12:26:13 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =

Error - 24.08.2010 13:26:06 | Computer Name = COMPUTERNAME | Source = Google Update | ID = 20
Description =

[ System Events ]
Error - 24.08.2010 05:10:58 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.

Error - 24.08.2010 05:10:58 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.

Error - 24.08.2010 05:11:01 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.

Error - 24.08.2010 05:11:01 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.

Error - 24.08.2010 05:11:01 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.

Error - 24.08.2010 05:11:05 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.

Error - 24.08.2010 05:11:05 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.

Error - 24.08.2010 05:11:05 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.

Error - 24.08.2010 05:11:07 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.

Error - 24.08.2010 05:11:07 | Computer Name = COMPUTERNAME | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der
SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM keine Aktivierungberechtigung (Lokal)
für die COM-Serveranwendung mit CLSID {4991D34B-80A1-4291-83B6-3328366B9097} gewährt.
Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.


< End of report >


MBR-Check :


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003d

Kernel Drivers (total 138):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D0000 \WINDOWS\system32\hal.dll
0xF8B25000 \WINDOWS\system32\KDCOM.DLL
0xF8A35000 \WINDOWS\system32\BOOTVID.dll
0xF84F5000 ACPI.sys
0xF8B27000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF84E4000 pci.sys
0xF8625000 isapnp.sys
0xF8B29000 avgarkt.sys
0xF8BED000 pciide.sys
0xF88A5000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF8635000 MountMgr.sys
0xF84C5000 ftdisk.sys
0xF8B2B000 dmload.sys
0xF849F000 dmio.sys
0xF88AD000 PartMgr.sys
0xF8B2D000 siside.sys
0xF88B5000 pavboot.sys
0xF8645000 VolSnap.sys
0xF8487000 atapi.sys
0xF8655000 disk.sys
0xF8665000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF8467000 fltmgr.sys
0xF8455000 sr.sys
0xF8675000 PxHelp20.sys
0xF843E000 KSecDD.sys
0xF83B1000 Ntfs.sys
0xF8384000 NDIS.sys
0xF8A39000 sisperf.sys
0xF8685000 uagp35.sys
0xF8695000 sisidex.sys
0xF86A5000 SISAGPX.sys
0xF836A000 Mup.sys
0xF86B5000 gagp30kx.sys
0xF8CD4000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF8715000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF8AD1000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF7BCF000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF8725000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF8735000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF89AD000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7BBE000 \SystemRoot\system32\DRIVERS\psched.sys
0xF8745000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF89B5000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF89BD000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF8755000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7C76000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7B9B000 \SystemRoot\system32\DRIVERS\ks.sys
0xF89C5000 \SystemRoot\SYSTEM32\DRIVERS\GEARAspiWDM.sys
0xF89CD000 \SystemRoot\System32\DRIVERS\InCDPass.sys
0xF89D5000 \SystemRoot\System32\Drivers\incdrm.SYS
0xF7C66000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7B65000 \SystemRoot\system32\drivers\smwdm.sys
0xF7B41000 \SystemRoot\system32\drivers\portcls.sys
0xF7C56000 \SystemRoot\system32\drivers\drmk.sys
0xF7B21000 \SystemRoot\system32\drivers\aeaudio.sys
0xF7AC1000 \SystemRoot\system32\drivers\senfilt.sys
0xF89DD000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF7A9D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF89E5000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7A7E000 \SystemRoot\system32\DRIVERS\SiSGbeXP.sys
0xF7907000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF78F3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF78BD000 \SystemRoot\system32\DRIVERS\HSFBS2S2.sys
0xF77BE000 \SystemRoot\system32\DRIVERS\HSFDPSP2.sys
0xF7716000 \SystemRoot\system32\DRIVERS\HSFCXTS2.sys
0xF89ED000 \SystemRoot\System32\Drivers\Modem.SYS
0xF76E6000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7C46000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF89F5000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF89FD000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF8B51000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7660000 \SystemRoot\system32\DRIVERS\update.sys
0xF8AFD000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7C36000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF764C000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7C26000 \SystemRoot\system32\DRIVERS\serial.sys
0xF8B01000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF8A05000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF7C16000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7C06000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF8B55000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF8A0D000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF8B5B000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8CED000 \SystemRoot\System32\Drivers\Null.SYS
0xF8B5D000 \SystemRoot\System32\Drivers\Beep.SYS
0xF8CEF000 \SystemRoot\System32\DRIVERS\AvgArCln.sys
0xF8A1D000 \SystemRoot\System32\drivers\vga.sys
0xF8B5F000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8B61000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF8B63000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xF6423000 \SystemRoot\System32\Drivers\InCDfs.SYS
0xF8A25000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF8A2D000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF8AB5000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF6410000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF63B7000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF638F000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF8ABD000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xF636D000 \SystemRoot\System32\drivers\afd.sys
0xF8775000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF6338000 \SystemRoot\System32\drivers\truecrypt.sys
0xF630D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF6275000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF87A5000 \SystemRoot\System32\Drivers\Fips.SYS
0xF624F000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF87B5000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF6233000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF8B67000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF88E5000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF76CE000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xF88ED000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xF76CA000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF87C5000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF88F5000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF8835000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF6153000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8B35000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6183000 \SystemRoot\System32\drivers\Dxapi.sys
0xF8945000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8D0E000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF4FA6000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF8C76000 \??\C:\WINDOWS\system32\socketlock.sys
0xF4F6E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF3C31000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF8BA9000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF3B51000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xF3A4F000 \SystemRoot\system32\DRIVERS\srv.sys
0xF394A000 \SystemRoot\system32\drivers\wdmaud.sys
0xF4E66000 \SystemRoot\system32\drivers\sysaudio.sys
0xF327A000 \SystemRoot\System32\Drivers\HTTP.sys
0xF310A000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF2014000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
0 System Idle Process
4 System
588 C:\WINDOWS\system32\smss.exe
640 csrss.exe
664 C:\WINDOWS\system32\winlogon.exe
708 C:\WINDOWS\system32\services.exe
728 C:\WINDOWS\system32\lsass.exe
888 C:\WINDOWS\system32\svchost.exe
948 svchost.exe
988 C:\WINDOWS\system32\svchost.exe
1008 C:\Programme\Ahead\InCD\InCDsrv.exe
1180 svchost.exe
1248 svchost.exe
1332 C:\WINDOWS\system32\LEXBCES.EXE
1356 C:\WINDOWS\system32\spoolsv.exe
1376 C:\WINDOWS\system32\LEXPPS.EXE
1556 C:\Programme\Avira\AntiVir Desktop\sched.exe
1768 C:\WINDOWS\explorer.exe
1776 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1888 C:\Programme\Java\jre6\bin\jqs.exe
1944 C:\WINDOWS\system32\nvsvc32.exe
2028 C:\WINDOWS\system32\svchost.exe
496 C:\WINDOWS\system32\rundll32.exe
504 C:\Programme\Winamp2.9_Deutsch\winampa.exe
520 C:\Programme\Labtec\Desktop\V5.1\MOffice.exe
532 C:\Programme\Labtec\Desktop\V5.1\KBDAP32A.EXE
628 C:\Programme\Ahead\InCD\InCD.exe
684 C:\Programme\QuickTime\qttask.exe
1048 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1056 C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
1092 C:\Programme\Labtec\Desktop\V5.1\mouse32a.exe
1204 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1260 C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
2072 C:\Programme\OpenOffice.org 2.2\program\soffice.exe
2088 C:\Programme\OpenOffice.org 2.2\program\soffice.bin
2640 alg.exe
1528 C:\Dokumente und Einstellungen\Mein_Name\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: Maxtor6Y080L0, Rev: YAR41BW0
PhysicalDrive1 Model Number: WDCWD153AA-00BAA0, Rev: 10.09K11

Size Device Name MBR Status
--------------------------------------------
76 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
14 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!


OSAM-Logfile :


Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:21:14 on 26.08.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.8

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"QuickTime.cpl" - "Apple Computer, Inc." - C:\WINDOWS\system32\QuickTime.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found)

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"00f3b19d-b092-4bec-93e7-dd8faa798eac" (00f3b19d-b092-4bec-93e7-dd8faa798eac) - ? - E:\Player\cds300.dll (File not found)
"1a5B" (1a5B) - ? - C:\WINDOWS\system32\1a5B.sys (File not found)
"2625" (2625) - ? - C:\WINDOWS\system32\2625.sys (File not found)
"5be8" (5be8) - ? - C:\WINDOWS\system32\5be8.sys (File not found)
"8aeA" (8aeA) - ? - C:\WINDOWS\system32\8aeA.sys (File not found)
"a546" (a546) - ? - C:\WINDOWS\system32\a546.sys (File not found)
"Add Performance Filter Driver" (sisperf) - "Silicon Integrated Systems Corp." - C:\WINDOWS\System32\drivers\sisperf.sys
"AVG Anti-Rootkit" (AVG Anti-Rootkit) - "GRISOFT, s.r.o." - C:\WINDOWS\System32\DRIVERS\avgarkt.sys
"Avg Anti-Rootkit Clean Driver" (AvgArCln) - "GRISOFT, s.r.o." - C:\WINDOWS\System32\DRIVERS\AvgArCln.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"bbe9" (bbe9) - ? - C:\WINDOWS\system32\bbe9.sys (File not found)
"catchme" (catchme) - ? - C:\ComboFix\catchme.sys (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"d194" (d194) - ? - C:\WINDOWS\system32\d194.sys (File not found)
"DRHARD" (drhard) - "Licensed for Gebhard Software" - C:\WINDOWS\system32\DRIVERS\DRHARD.SYS
"GEAR CDRom Filter" (GEARAspiWDM) - "GEAR Software Inc." - C:\WINDOWS\System32\DRIVERS\GEARAspiWDM.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"InCD File System" (InCDfs) - "Ahead Software AG" - C:\WINDOWS\system32\drivers\InCDfs.sys
"InCD Reader" (incdrm) - "Ahead Software AG" - C:\WINDOWS\system32\drivers\incdrm.sys
"InCDPass" (InCDPass) - "Ahead Software AG" - C:\WINDOWS\System32\DRIVERS\InCDPass.sys
"InCDrec" (InCDrec) - "Ahead Software AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"MEMSWEEP2" (MEMSWEEP2) - ? - C:\WINDOWS\system32\5.tmp (File not found)
"nv" (nv) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nv4_mini.sys
"pavboot" (pavboot) - "Panda Security, S.L." - C:\WINDOWS\System32\drivers\pavboot.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\DRIVERS\PxHelp20.sys
"Raw Socket Lock Driver" (SocketLock) - ? - C:\WINDOWS\system32\socketlock.sys (File found, but it contains no detailed information)
"RSPSC" (RSPSC) - "Resplendence Software Projects Sp." - C:\WINDOWS\system32\drivers\rspsc.sys
"sisidex" (sisidex) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\System32\drivers\sisidex.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\WINDOWS\System32\drivers\truecrypt.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)
"xofjweogvvlv" (xofjweogvvlv) - ? - C:\WINDOWS\System32\drivers\xofjweogvvlv.sys (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{FED7043D-346A-414D-ACD7-550D052499A7} "dBpShell Class" - "Illustrate" - C:\Programme\Illustrate\dBpoweramp\dBShell.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5} "dMCIShell Class" - "Illustrate" - C:\Programme\Illustrate\dBpoweramp\dMCShell.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Computer, Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll
{950FF917-7A57-46BC-8017-59D9BF474000} "Shell Extension for CDRW" - "Ahead Software AG" - C:\Programme\Ahead\InCD\incdshx.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{e57ce731-33e8-4c51-8354-bb4de9d215d1} "Universelle Plug & Play-Geräte" - ? - (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WinZip\WZSHLSTB.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
<binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found)
<binary data> "{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" - ? - (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://go.microsoft.com/fwlink/?linkid=39204
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{8C85E2EE-9FD6-11D5-B770-504D54C10000} "Trace" - "VisualWare" - C:\Programme\VisualRoute\vrie.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{872b5b88-9db5-4310-bdd0-ac189557e5f5} "DVDVideoSoftTB Toolbar" - "Conduit Ltd." - C:\Programme\DVDVideoSoftTB\tbDVD1.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Mein_Name\Startmenü\Programme\Autostart\desktop.ini
"OpenOffice.org 2.2.lnk" - ? - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"NBJ" - "Ahead Software AG" - "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"FLMOFFICE4DMOUSE" - ? - C:\Programme\Labtec\Desktop\V5.1\moffice.exe
"InCD" - "Ahead Software AG" - C:\Programme\Ahead\InCD\InCD.exe
"Lexmark 2200 Series" - "Lexmark International, Inc." - "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"OFFICEKB" - ? - C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe
"QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"SiSUSBRG" - "Silicon Integrated Systems Corp." - C:\WINDOWS\SiSUSBrg.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"WinampAgent" - ? - "C:\Programme\Winamp2.9_Deutsch\Winampa.exe" (File found, but it contains no detailed information)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"InCD Helper" (InCDsrv) - "Ahead Software AG" - C:\Programme\Ahead\InCD\InCDsrv.exe
"InCD Helper (read only)" (InCDsrvR) - "Ahead Software AG" - C:\Programme\Ahead\InCD\InCDsrv.exe
"iPod Service" (iPodService) - "Apple Computer, Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"UPnPService" (UPnPService) - "Magix AG" - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"WJB" (WJB) - ? - C:\DOKUME~1\Mein_Name~1\LOKALE~1\Temp\WJB.exe (File not found)

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===


MBR-Log :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Seitenanfang Seitenende
28.08.2010, 17:22
Member

Beiträge: 420
#2 Hi,

1. Starte bitte OTL, kopiere unten in das Script-Feld rein:

Zitat

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\WJB.exe -- (WJB)
SRV - File not found [Disabled | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\KCQO.exe -- (KCQO)
SRV - File not found [Disabled | Stopped] -- C:\DOKUME~1\ Mein_Name ~1\LOKALE~1\Temp\BVOUMSUD.exe -- (BVOUMSUD)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\5.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\d194.sys -- (d194)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\bbe9.sys -- (bbe9)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\a546.sys -- (a546)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\8aeA.sys -- (8aeA)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\5be8.sys -- (5be8)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\2625.sys -- (2625)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\1a5B.sys -- (1a5B)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Player\cds300.dll -- (00f3b19d-b092-4bec-93e7-dd8faa798eac)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
@Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\MFCUIA32.DLL: SummaryInformation

:Commands
[purity]
[emptytemp]
[emptyflash]
und klicke auf Run Fix. Unter Umständen ist ein Neustart notwendig. Poste bitte das Fix Log.

2. RootRepeal
http://sites.google.com/site/rootrepeal/
Starte RootRepeal.
Beende alle anderen Programme.
Gehe unten auf den Reiter Report.
Klicke auf Scan.
Setze alle Häkchen.
Bestätige mit OK.
Falls gefragt, wähle Laufwerk C:
Bestätige mit OK.
Am Ende des Scans wird ein Log eingeblendet, poste es bitte.
Seitenanfang Seitenende
28.08.2010, 19:36
Moderator

Beiträge: 5694
#3 Hilfe in mehreren Foren gleichzeitig suchen?

Es gibt immer wieder Fälle, wo wir darauf stoßen, dass User in mehreren Foren gleichzeitig nach Hilfe suchen. Es ist verständlich, dass Du Dein Problem so schnell wie möglich aus der Welt schaffen möchtest, dennoch ist es kontraproduktiv gleich mehrere Foren mit Deinem Problem zu beschäftigen.

Zitat


http://www.trojaner-board.de/90018-rootkit-eingefangen-pc-faehrt-eigenstaendig-runter-keine-genaue-lokalisierung-moeglich.html#post561397


Wir nennen das Crossposting und sehen das aus folgenden Gründen nicht gerne:
• Mehrere Teams beschäftigen sich mit dem gleichen Problem, was vergeudete Zeit der freiwilligen Helfer ist, die anderen Usern mit Problemen zugute kommen könnte.
• Wir Helfer machen das in unserer Freizeit und sind natürlich verärgert, wenn wir Stunden aufwenden, um Dein System zu analysieren und dann sehen, dass das Problem bereits in Arbeit ist.
• Kann es zu Problemen mit Deinem Rechner kommen, weil unterschiedliche Helfer unterschiedliche Methoden anwenden, um das Problem zu lösen. Manche Tools sind sehr speziell und vertragen sich unter Umständen nicht mit anderen Tools. Wenn der Helfer nun nicht weiß, dass ein bestimmtes Tool angewendet wurde, und dann das damit unverträgliche anwendet, kann Dein System zusammenbrechen.
• Da Dir im Trojaner-Board schon geholfen wird, mache ich hier dann mal zu.
Obige Gründe können dazu führen, dass wir eine weitere Bearbeitung Deines Threads ablehnen.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »